CATALOGUE 2018Sécurité des systèmes d'informa on ons€¦ · sa sfac on des clients et de la pérennité ﬁ nancière d'HSC. Le professionnalisme d'HSC a été apprécié par

H E R V É S C H A U E R C O N S U L T A N T S

HERVÉ SCHAUER CONSULTANTS

CATALOGUE 2018Sécurité des systèmes d'informa on

Form

a o

ns

Réa

lisat

ion

: VBC

Con

cept

• ©

Mas

terfi

le

Sécurité Technique

Con nuité d'ac vité Sécurité Organisa onnelle

Sécurité Juridique

Pour plus d'informations, contactez le service formation par téléphone au 01 41 40 97 04 ou par courriel à [email protected]

2

Les forma ons HSC

Les forma ons HSC, une histoire de passion !

Notre secteur d'ac vité imposant une évolu on rapide et constante des compétences et des connaissances, HSC s'est toujours évertuée à parfaire ses forma ons et à en créer de nouvelles afi n que chacun puisse trouver, auprès de nous, le transfert des compétences et d'informa ons indispensables à votre évolu on professionnelle, voire personnelle.

Les forma ons HSC, c'est, avant tout l'esprit de partage et de retour d'expériences par des consultants seniors. Conviviales, pragma ques et studieuses, certaines d’entre elles sont dispensées en province pour votre confort.

L’exigence et l’implica on apportées par chacun des maillons HSC nous a permis d’obtenir en février 2010 la cer fi ca on ISO9001:2008* par Intertek Interna onal (h p://www.intertek-cer fi ca on.fr/) sur le périmètre des forma ons cer fi antes ISO 27001 et ISO 22301 Lead Auditor et Implementer, ISO 27005 et Ebios Risk Manager, de la forma on labellisée Correspondant Informa que et Libertés (CIL) et de l'ensemble des forma ons techniques HSC.

* Cer fi cat d'enregistrement n°0021117-00 accordé à HSC en date du 13 février 2015.

De plus, l'Offi ce Professionnel de Qualifi ca on des organismes de Forma on (Cf h p://www.opqf.com/), a qualifi é HSC le 26 octobre 2011 pour ses forma ons.

Ce e qualifi ca on, obtenue dans le domaine "informa que" pour une durée de quatre ans, reconnaît le professionnalisme et le sérieux d'HSC en tant qu'organisme de forma on. Elle a este notamment du respect de la réglementa on, de l'adéqua on des compétences et des moyens techniques et humains mis en œuvre aux ac ons de forma on, de la sa sfac on des clients et de la pérennité fi nancière d'HSC.

Le professionnalisme d'HSC a été apprécié par l'ISQ-OPQF au travers d'une instruc on rigoureuse conforme à la norme AFNOR NF X50-091 en quatre étapes : recevabilité du dossier, analyse au fond de la demande par un expert de la forma on professionnelle con nue appelé instructeur, émission d'un avis collégial par une commission d'instruc on et décision par le comité de qualifi ca on.

La qualifi ca on OPQF vient ainsi dis nguer la qualité des forma ons HSC, elle préjuge d'une rela on de confi ance client/prestataire de forma on et elle est le gage d'une coproduc on réussie et donc effi cace.

Nous sommes persuadés que vous trouverez auprès des forma ons HSC l'ou l indispensable à vos besoins.

N'hésitez pas à parcourir ce catalogue 2018 et à prendre connaissance des nouveautés HSC.

Nous espérons vous recevoir bientôt parmi nous.

A NOTER...Le suivi des forma ons HSC vous permet de déclarer des CPE (Con nuing Professional Educa on), et de main-

tenir, ainsi, les cer fi ca ons qui l'imposent telles que CISA, CISM, CGEIT de l'ISACA, CISSP, SSCP d'ISC²...

CCERTIFICATION

ISO 9001

TMACCRÉDITATION

COFRAC N° 4-0014

PORTÉE DISPONIBLE SUR

www.cofrac.fr

3

Notre poli que qualité


4

Organismes de cer fi ca on

Perme re de monter en compétences et développer celles-ci a toujours été pour HSC une priorité. Grâce au sou en de trois organismes renommés et accrédités, HSC propose aux stagiaires, à l'issue des forma ons qu'elle dispense, les cer fi ca ons les plus reconnues dans le monde:

La cer fi ca on CISSP (Cer fi ed Informa on Systems Security Professional), accréditée ISO 17024 aux USA par l'ANSI (www.ansica.org) depuis 2004, est la première cer fi ca on mondiale de compétences en sécurité des systèmes d'informa on, détenue par plus de 80 000 professionnels dans plus de 135 pays. Elle est délivrée par (ISC)², qui édite également le recueil de sécurité CBK (Common Body of Knowledge), et a este de la connaissance de l'ensemble des sujets liés à la sécurité des systèmes d'informa on. Depuis le 1er janvier 2014, HSC est le

partenaire offi ciel d'ISC² en France et au Luxembourg. HSC est le seul à pouvoir vendre l'examen CISSP.

Examen : L'examen est un QCM en français et/ou en anglais, qui se déroule dans un centre d'examen Pearson VUE (h p://www.pearsonvue.com), à la date choisie par le stagiaire. HSC est le seul, en France, habilité à vendre le coupon d'examen.

pour les forma ons ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, ISO 27005 Risk Manager, .................................................................................................................................................................... EBIOS Risk Manager, ISO 22301 Lead Auditor, ISO 22301 Lead Implementer et Privacy Implementer.

LSTI est un organisme de cer fi ca on spécialisé dans le domaine de la sécurité des systèmes d'informa on, et le seul organisme de cer fi ca on français en SSI. LSTI a été le premier organisme à proposer des cer fi ca ons d'entreprises à l'ISO 27001, et demeure le seul à réaliser des cer fi ca ons RGS (Référen el Général de Sécurité). Les cer fi ca ons de compétences de LSTI ont été les premières au monde à obtenir l'accrédita on ISO 17024 en 2007 par le COFRAC (www.cofrac.fr) pour les cer fi ca ons ISO27001. Les cer fi ca ons délivrées par LSTI sont mondialement reconnues et détenues par plus de 3000 professionnels francophones.

Examen :Les examens se déroulent à l'issue de la forma on dans les locaux d'HSC. Ce sont des examens de type universitaire, en français ou en anglais, corrigés manuellement par deux examinateurs (double correc on).

5

Organismes de cer fi ca on

et pour les forma ons SECU1, INTRU1, INTRU2, INFO1, INFO2, INFO3, SECDRIS, SECWEB , SECINDUS, SECARC, SECWIN, DSSI, RSSI et RPCA

Deloi e est l'un des quatre grands cabinets d'audit et de conseil dans le monde. Deloi e est cons tué d'en tés légalement autonomes et indépendantes, membres du réseau Deloi e Touche Tohmatsu, toutes associées au sein d'une associa on de droit suisse. Deloi e France appar ent à 100 % à des associés français. HSC a rejoint le réseau Deloi e en décembre 2014, et depuis 2016 Deloi e délivre des cer fi ca ons, à l'issue d'examens conçus par HSC et Deloi e.

LPI (Linux Professionnal Ins tute), est l'organisme de cer fi ca on interna onalement reconnu dans le

monde du logiciel libre. Il a été créé en 1999 pour perme re la reconnaissance professionnelle dans les technologies Linux et Open Source et 125 000 personnes dans le monde dé ennent une cer fi ca on LPI. Ces cer fi ca ons sont indépendantes des éditeurs et des distribu ons.Depuis septembre 2013, HSC propose la forma on Expert Sécurité Linux perme ant de préparer la cer fi ca on LPI 303, le niveau le plus élevé de la cer fi ca on LPI.

ExamenL'examen est un QCM en anglais, qui se déroule soit chez HSC, soit dans un centre d'examen Pearson VUE, à la date choisie par le stagiaire.


Clas

sem

ent d

es fo

rma

ons

HSC

par

mé

er

Classement des forma ons HSC par mé er

6

techniques de la SSI

Mon métier Formations adaptées

Fondamentaux et techniques de la SSI - SECU1 (page 10)

Sécurité des réseaux sans fil - SECRF (page 11)

Sécurisation des infrastructures Windows - SECWIN (page 20)

Sécuriser un serveur Linux (LPI 303) - SECLIN (page 21)

Principe et mise en oeuvre des PKI (page 35)

Sécurité du Cloud Computing (page 37)

Fondamentaux ISO 27001 & ISO 27002 (page 39)

Informaticien / Administrateur systèmes et réseaux


Formation CISSP (page 30)

Sécurisation des infrastructures Windows - SECWIN (page 20)

Sécuriser un serveur Linux (LPI 303) - SECLIN (page 21)

Sécurité des réseaux sans fil - SECRF (page 11)

Inforensique : les bases d’une analyse post-mortem - INFO1 (page 15)

Analyse Inforensique avancée - INFO2 (page 16)

Rétroingénierie de logiciels malfaisants - INFO3 (page 17)

Surveillance, détection et réponse aux incidents SSI – SECDRIS (page 18)

Sécurité des serveurs et applications Web - SECWEB (page 19)

Tests d'intrusion et sécurité offensive – INTRU1 (page 22)

Tests d’intrusion avancés et développement d’exploits – INTRU2 (p23)

Sécurité SCADA - SECINDUS (page 12)

ISO 27001 Lead Auditor (page 43)

Consultant en sécurité réalisant des audits techniques ou des tests d’intrusion

Essentiels techniques de la SSI (page 9)


Surveillance, détection et réponse aux incidents SSI – SECDRIS (page 18)

Gestion des incidents de sécurité / Norme ISO 27035 (page 41)

Gestion de crise IT/SSI (page 42)

Inforensique : les bases d’une analyse post-mortem - INFO1 (page 15)

Analyse Inforensique avancée - INFO2 (page 16)

Rétroingénierie de logiciels malfaisants - INFO3 (page 17)

ISO 27001 Lead Implementer (page 44)

PKI Windows (page 36)

Ingénieur sécurité dans un CSIRT (Computer Security Incident Response Team) ou SOC (Security Operation Center)

techtechniquniquqq es des de lae la SSISSI



Sécurité des serveurs et applications Web - SECWEB (page 19)

Principe et mise en oeuvre des PKI (page 35)

Développeur Chef de projet


Architectures réseaux sécurisées - SECARC (page 14)

PKI Windows (page 36)Architecte sécurité

7

Clas

sem

ent d

es fo

rma

ons

HSC

par

mé

er

Classement des forma ons HSC par mé er

Fondamentaux techniques de la SSI

Mon métier Formations adaptéesp

Formation RSSI (page 32)

Droit à la sécurité informatique (page 24)

GDPR / RGPD (page 25)

Principes et mise en oeuvre des PKI (page 35)


Fondamentaux des normes ISO 27001 et ISO 27002 (page 39)

Indicateurs et tableaux de bord de la SSI / ISO 27004 (page 40)

Gestion des incidents de sécurité / ISO 27035 (page 41)

Gestion de crise IT / SSI (page 42)

ISO 27001 Lead Auditor / ISO 27001 Lead Implementer (p43-44)

ISO 27005 Risk Manager (page 45)



ISO 22301 Lead Auditor / ISO 22301 Lead Implementer (p 57 - 58)

RSSI

Data Protection Officer (DPO)

FoFonFonFonFonndamdamdamdamdamentententententauxauxauxauxaux ttetetectecececcch ihnihnihniqueque dds ds d lle le l SSa Sa SSISISISIGDPR / RGPD (page 25)

Droit à la sécurité informatique (page 24)

Data Protection Officer (page 26)

Privacy Lead Implementer (page 27)

Réaliser un PIA (page 28)


Protection des données de santé et vie privée (page 29)


Formation CISA (page 31)

Homologation SSI : RGS, IGI1300, LPM, PSSIE (page 34)

PCI DSS : Comprendre, mettre en oeuvre et auditer (page 33)


Fondamentaux des normes ISO 27001 et ISO 27002 (page 39)

Indicateurs et tableaux de bord de la SSI / ISO 27004 (page 40)





Sécurité SCADA - SECINDUS (page 12)

Inforensiques : les bases d’une analyse post-mortem - INFO1 (page 15)

Inforensique avancée - INFO2 (p 16)

Auditeur

FF d tt


Principes et mise en oeuvre des PKI (page 35)


Fondamentaux ISO 27001 & ISO 27002 (page 39)

Indicateurs et tableaux de bord de la SSI / ISO 27004 (p 40)

Gestion des incidents de sécurité / ISO 27035 (page 41)


ISO 27001 Lead Auditor / ISO 27001 Lead Implementer (p 43-44)

ISO 27005 Risk Manager (page 45)

Ebios Risk Manager (page 46)

Consultant accompagnant un RSSI dans ses missions

ISO 22301 Lead Auditor / ISO 22301 Lead Implementer (p 48-49)


Formaion RPCA (page 47)

RPCA ou Consultant accompagnant un RPCAdans ses missions

Sommaire

Sécurité Technique 9INTRODUCTION À LA SÉCURITÉ DES SYSTÈME D'INFORMATION

Essen els techniques de la SSI 9Fondamentaux techniques de la SSI - SECU1 10

SÉCURITÉ DES RÉSEAUX ET DES INFRASTRUCTURESSécurité des réseaux sans fi l - SECRF 11Sécurité SCADA - SECINDUS 12DNSSEC - SECDNS 13Architectures réseaux sécurisées - SECARC 14

INFORENSIQUEInforensique : les bases d’une analyse post-mortem – INFO1 15Inforensique avancée : Industrialisez les enquêtes sur vos infrastructures – INFO2 16Rétro-ingénierie de logiciels malfaisants – INFO3 17

SÉCURISATION, DÉFENSE ET ANALYSESurveillance, détec on et réponse aux incidents SSI – SECDRIS 18Sécurité des serveurs et applica ons Web - SECWEB 19Sécurisa on des infrastructures Windows - SECWIN 20Sécuriser un serveur Linux (LPI303) - SECLIN 21

INTRUSIONTests d'intrusion et sécurité off ensive – INTRU1 22Tests d’intrusion avancés et développement d’exploits – INTRU2 23

Sécurité Juridique 24 SÉCURITÉ ET JURIDIQUE

Droit de la sécurité informa que 24GDPR / RGPD 25DPO (Data Privacy Offi cer) 26Privacy Implementer 27Réaliser un PIA 28Protec on des données de santé et vie privée 29

Sécurité Organisa onnelle 30 MANAGEMENT DE LA SÉCURITÉ

Forma on CISSP 30Forma on CISA 31Forma on RSSI 32PCI DSS : Comprendre, me re en oeuvre et auditer 33Homologa on de la SSI : RGS, IGI1300, LPM, PSSIE 34Principes et mise en oeuvre des PKI 35PKI Windows 36Sécurité du cloud compu ng 37

MANAGEMENT DE LA SÉCURITÉ AVEC LES NORMES ISO 2700XPrésenta on des forma ons ISO 2700x 38Fondamentaux ISO 27001 & ISO 27002 39Indicateurs et tableaux de bord SSI / ISO 27004 40Ges on des incidents de sécurité / ISO 27035 41Ges on de crise IT / SSI 42ISO 27001 Lead Auditor 43ISO 27001 Lead Implementer 44ISO 27005 Risk Manager 45EBIOS Risk Manager 46

Con nuité d'ac vité 47 MANAGEMENT DE LA CONTINUITÉ D'ACTIVIÉ AVEC LES NORMES ISO 2230X

Forma on RPCA 47ISO 22301 Lead Auditor 48ISO 22301 Implementer 49

INFORMATIONS PRATIQUES

Calendrier des forma ons 50-51Le saviez-vous ? 52 Modalité d'inscrip on / Bulle n d'inscrip on 53Condi ons générales de ventes 54

8


01 41 40 97 04forma ons-hsc@deloi e.fr

9

Réf :

ESS

I

ESSI ESSENTIELS TECHNIQUES DE LA SSI5 au 6 mars 2018 • Paris

PROGRAMMEForma on théorique à la Sécurité des Systèmes d’Informa on, ce cours apportera au personnel technique et aux chefs de projets une approche d'un système d'informa on sous l'angle des a aquants et donnera les bonnes pra ques pour sécuriser et maintenir un niveau de sécurité correct dans vos systèmes d’informa on. Connaître les principales a aques et les contre-mesures adéquates est devenu primordial pour toute entreprise u lisant l'informa que et les réseaux comme support de travail.

VOUS ALLEZ APPRENDRE À

• Iden fi er les points faibles des systèmes d'informa on• Défi nir les règles de sécurité fondamentales pour sécuriser un périmètre• Comprendre la portée des a aques informa ques

PUBLIC VISÉ

• Personnel ayant besoin d'engranger de nouvelles connaissances en sécurité• Administrateurs systèmes ou réseaux

PRÉ REQUIS

Une connaissance informa que de base ainsi que des bases en réseaux TCP/IP.

Méthode pédagogique :• Cours magistral• Démonstra ons

MATÉRIEL

• Supports au format papier en français

CERTIFICATION

Forma on non cer fi ante.

Durée : 2 jours / 14 heures

JOUR 1

Introduc onContexte, Objec fs, EnjeuxRisques et impacts mé er• Fuite d'informa on• A einte à l'image• Risques juridiques

Typologie des a aquesSources de menace• Cybercriminalité• Espionnage

Rappels techniques• Protocoles réseau (IP, TCP, UDP, ICMP, IPsec)• Protocoles “lien” (Ethernet, ARP, 802.x, LAN, VPN, MPLS)• Exemple de protocole applica f : HTTP

JOUR 2Sécurité des réseaux et fi rewalls (grands principes)• Cloisonnement et fi ltrage IP, Relayage applica f, architecture sécurisée

- Objec fs, enjeux et principes- Equipements et limites

• Architecture sécurisée- DMZ : les bonnes pra ques- Equipements et limites

Sécurité des applica ons Web• A aques classiques et retour d'expérience HSC

- Fonc onnement des a aques Web classiques (injec ons SQL, XSS)• A aques spécifi ques :

- Sécurité du navigateur (vulnérabilités Flash, Adobe, Ac veX)

Sécurisa on• Ges on des droits et des accès• Stockage des mots de passe

- Exemple HSC d'a aque réussie• Fédéra on des iden tés (SSO)• Bonnes pra ques de développement• Veille en vulnérabilité• Ges on des vulnérabilités techniques

Critères de choix d’une solu on de sécurité• Panorama du marché et vocabulaire du marke ng• Comprendre et u liser un rapport de test intrusif ou d'audit technique de sécurité• Audits de sécurité et conformité• La ges on de la sécurité dans le temps• Ges on des ers (fournisseurs de service, prestataires, clients et partenaires)

Conclusion

Essen els techniques de la SSI

13 au 14 septembre 2018 • Paris

Plan de forma on validé en collabora on avec l'ANSSIPlan de forma on validé en collabora on avec l'ANSSI


10

Réf :

SEC

U1

SECU1 - Fondamentaux et techniques de la SSI

Forma on ini ale à la Sécurité des Systèmes d’Informa on, la SECU1 perme ra d’apporter au personnel technique les connaissances nécessaires à l’implémenta on et au main en de la Sécurité dans vos systèmes d’informa on. Savoir implémenter les bonnes mesures de sécurité est devenu pour tout ingénieur ou administrateur système ou réseau un enjeu primordial perme ant d’assurer la sécurité de tout SI.


• Maîtriser le vocabulaire et la théorie de la sécurité de l’informa on• Élaborer la sécurité des réseaux informa ques• Capitaliser sur de nombreux concepts de défense• Maîtriser la sécurité des systèmes d’exploita on et des applica ons

PUBLIC VISÉ

• Personnel technique souhaitant se reconver r dans la sécurité des systèmes d’informa on• Administrateurs systèmes ou réseaux • Professionnel de la sécurité

PRÉ REQUIS

Une réelle connaissance informa que est nécessaire.

Méthode pédagogique :• Cours magistral• Travaux pra ques

MATÉRIEL

• Ordinateurs portables mis à disposi on du stagiaire• Supports en français

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on SECU1. Toutes les ques ons de l'examen sont issues des supports de cours de la forma on. L'examen se passe le dernier jour de la forma on.


Jour 1 • Introduc on - Contexte - Sources de menaces - Anatomie d'une a aque - Risques et impacts mé ers - Concepts fondamentaux• Rappels sur les réseaux IP - Couches OSI - Adressage - ARP - DNS• Équipements réseaux

Jour 2• Cryptographie - Symétrique et modes, asymétrique ▪ Hashage ▪ Signature ▪ VPN ▪ PKI ▪ TLS ▪ PGP ▪ IPSec - Contrôle d'accès ▪ Gestion des utilisateurs ▪ Authentification, Autorisation

Jour 3• Sécurité des réseaux - Equipements réseau - Segmenta on - Filtrage - Relayage - Architecture (ANSSI)• Ges on d'incidents - Processus - Veille - Journalisa on - Inves ga on

Jour 4 • Linux - Système de fi chiers - Authen fi ca on et comptes u lisateurs - Sécurisa on des services - Journalisa on - Parefeu local - Modules de sécurité• Windows - Ac ve directory - Powershell - Scénarios d'a aque classiques - Solu ons pra ques - Durcissement réseau Jour 5• Sécurité des applica ons - HTTP - Ges on de l'authen fi ca on - Ges on des Cookies - Ges on des sessions - Présenta on des principales a aques ▪ SQLI ▪ XSS ▪ CSRF ▪ Directory traversal ▪ RCE ▪ RFI/LFI• Examen de cer fi ca on

PROGRAMME

SECU1 FONDAMENTAUX ET TECHNIQUES DE LA SSI16 au 20 avril 2018 • Paris Du 1er au 5 octobre 2018 • Paris



SECRF - Sécurité des réseaux sans fi l

11

Réf :

SEC

RF

SECRF SÉCURITÉ DES RÉSEAUX SANS FIL

8 au 9 novembre 2018 • Paris

Les réseaux sans-fi l sont devenus omniprésents dans le paysage informa que. La diversité des technologies et de leurs applica ons a amené les entreprises à intégrer ces technologies pour perme re la souplesse et la sécurité aux employés. Qu'il s'agisse de perme re l'iden fi ca on des u lisateurs avec des cartes sans contact, l'u lisa on de casques sans fi l pour eff ectuer des communica ons téléphonique, le déployement d'un réseau de communica on privé dans un périmètre défi ni, ou encore le contrôle à distance d'une installa on de domo que, les technologies telles que le Bluetooth, le NFC, ou l'incontournable Wi-Fi et bien d'autres encore sont devenus plus que courant dans nos environnements.

VOUS ALLEZ APPRENDRE

• Les atouts et faiblesses des principales technologies sans-fi l• Comment u liser les technologies sans fi l en toute sécurité• Auditer vos propres installa ons

PUBLIC VISÉ

• Experts en sécurité de l'informa on• Consultants• Auditeurs• Administrateurs systèmes et réseaux

PRÉ REQUIS

• Avoir une expérience dans l'u lisa on des systèmes Windows et Unix/Linux• Avoir de bonnes connaissances des principaux protocoles TCP/IP


MATÉRIEL

• Ordinateurs portables mis à disposi on du stagiaire• Supports en français

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on SECRF. Toutes les ques ons de l'examen sont issues des supports de cours de la forma on. L'examen se passe le dernier jour de la forma on.


Généralités sur les réseaux sans-fi l• Panorama des technologies et des normes - 802.XX ▪ Bluetooth ▪ Wi-Fi ▪ Zigbee ▪ WiMAX - Filtrage - Infrarouge - NFC - GSM / UMTS / LTE - TETRA

Caractéris ques des technologies• Probléma ques physiques - Brouillage radio - Environnement (absorp on, diff rac- on, réfrac on, réfl exion / humidité,

verre, béton, etc.) - Écoutes et intercep ons - Détournement de connexion - Inser on et rejeux de trafi c• Risques sanitaires• Méthodes de transmission - FHSS - DSSS - IR - DSSS/CK - OFDM• Études, démonstra ons et cas pra- ques d'a aque sur le 802.11 CSMA/

CA• U lisa on abusive du média (réser-va on du temps)• Satura on radio• Envoie de trames de désassocia on• Déni de service sur la ba erie

Technologie Wi-Fi• Répar on du spectre 2,4GHz• Posi onnement dans l'architecture du SI• Présenta on des a aques sur le 802.11 - Usurpa on de borne / client - Désassocia on / Désauthen fi ca- on

- Vol de paquets en a ente - Wi-Fishing - Écoute passive• Présenta on d'ou ls logiciels (Kis-met, aircrack-ng, etc.)• Présenta on d'ou ls matériels (WiFi Pineapple, BVS, etc.)• Sécurités - WEP - 802.1X (EAPoL, RADIUS, PEAP, MS-CHAPv2, etc.) - WPA / WPA2 - WPS - Exemple et étude d'une architec-ture sécurisée• Pour chaque par e, démonstra ons et cas pra ques d'a aques : - Mise en place et confi gura on de la sécurité proposée - A aques sur la solu on - Études des améliora ons possibles

SDR• Sécurités• Présenta on• Récepteur et antennes • GNU Radio Companion • Démonstra ons avec la HackRF

Bluetooth• Technologies (classique, BLE, etc.) • Sécurité et faiblesses • Présenta on d'ou ls d'analyse et d'a aques (BTScanner, Redfang, Btle-Juice, etc.) • Présenta on d'ou ls physiques (Ubertooth One, Bluefruit LE Sniff er)• A aques - Reconnaissance - Spam - Vol d'informa ons - Contrôle à distance - A aques sur la crypto - Dénis de service - Highjacking / Spoofi ng - A aques sur les mauvaises implé-menta ons

Zigbee• Présenta on des technologies• Sécurité et faiblesses• Études des a aques existantes

NFC• Présenta on des technologies (Mifare / DESFire / etc.)• Sécurité et faiblesses• Études des a aques existantes (lecture d'informa ons, copie, rejeu, etc.• Cas pra que de lecture et copie d'une carte NFC• Proposi on et étude d'une architecture sécurisée

Téléphonie mobile• Panorama des technologies • GSM / 2G - Présenta on de la technologie - Extensions (2G+, 2,75G) - Fonc onnement du Short Message Service (SMS - RFC 5724) - Sécurités et faiblesses sur les méthodes de chiff rements (A5/1, A5/2, A5/3) - A aque par régression du protocole• UMTS / 3G - Présenta on de la technologie - Extensions (3G+, H+) - Sécurités et faiblesses• LTE / 4G - Présenta on de la technologie - Extension (4G+) - Sécurités et faiblesses

TETRA• Présenta on de la technologie • Comparaison avec le GSM• Sécurité et faiblesses• Études d'a aques existantes (écoute, rejeu)• Démonstra on d'une écoute de communica on

PROGRAMME



SECINDUS - Sécurité SCADA

12

Réf :

SEC

IND

US

SÉCURITÉ SCADA9 au 11 avril 2018 • Paris 22 au 24 octobre 2018 • Paris

SCADA, DCS et d’autres réseaux de contrôle de processus propre au monde industrie contrôlent les infrastructures vitales de la société, depuis les réseaux électriques au traitement de l’eau, de l’industrie chimique au transport ; ils sont présents partout. Avec la généralisa on des interconnexions de réseaux, entre réseaux industriels et bureau que, les télémaintenances et l’u lisa on d’internet et avec la migra on de protocoles et de systèmes spécifi ques vers TCP/IP et Windows, les risques sont devenus très élevés et les enjeux immenses.


• Connaître le mé er et les probléma ques• Savoir dialoguer avec les automa ciens• Connaître et comprendre les normes propres au monde industriel• Auditer vos systèmes SCADA• Développer une poli que de cyber-sécurité

PUBLIC VISÉ

• Responsables sécurité, sûreté, cyber sécurité, sécurité industrielles• Responsables informa que ou sécurité souhaitant étendre leur compétences aux systèmes SCADA• Consultants et auditeurs en sécurité

PRÉ REQUIS

Une bonne connaissance générale en informa que et en sécurité des systèmes d’informa on (ex : une cer fi ca on GIAC GSEC – Security Essen als Cer fi ca on – ou (ISC²) CISSP est nécessaire

Méthode pédagogique :• Cours magistral avec exemples pra ques.

MATÉRIEL

• Supports au format papier en français

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on SECINDUS. Toutes les ques ons de l'examen sont issues des supports de cours de la forma on. L'examen se passe le dernier jour de la forma on.


Automates PLC / télétransme eurs RTU / Automates de sécurité SIS• Services couramment présents• Vulnérabilités rencontrées • Protocoles courants

- Modbus : Faiblesses du protocole - DNPS : Authen fi ca on / chiff rement- etc...

• Déni de service / robustesse des automatesIHM (Interfaces Homme-Machine)• Vulnérabilités rencontréesSystèmes d'exploita on Windows• Vulnérabilités courantes• Présenta on d'OPCAccès distants• RTC• VPN• boî ers de télétransmission• sans-fi l (Wi-Fi, liaisons radio)• Problèmes des automates et IHM exposés sur Internet (exemples avec Shodan et Eripp)Démonstra ons pra ques d'a aques sur un environnement SCADA• Simula on d'un réseau SCADA avec des simulateurs Maître/Esclave Modbus/ TCP (Modsak)• Compréhension des vunérabilités du protocole Modbus/TCP et u lisa on de Wireshark• Injec on de paquets contrefaits sur Modbus/TCP• Simula on des relais de protec on Smart Grid et compréhension du protocole DNP3• Rebond d'un réseau d'entreprise vers un réseau industriel• Détec on de tenta ves d'a aques avec des signatures IDS SNORT et CheckPoint GAiA• Démonstra on de SCADAVirt (a aque via BTR3+Metasploit)Référen els sur la sécurité des systèmes d'informa on industriels• Introduc onl• Détec on de tenta ves d'a aques avec des signatures IDS SNORT et CheckPoint GAiA - Secteurs d'ac vité cibles, typologie, popula on cible, incontournables• Guide ANSSI : Maîtriser la SSI pour les systèmes industriels• Guide ANSSI : Méthode de classifi ca on et mesures• Normes IEC 62443 (ISA 99) - IEC 62443-2-1 - IEC 62443-3-3• Autres référen els - NIST SP800-82, NERC CIP, ISO 27019, etcExemples de compromissions et d'incidents publics• Incidents non ciblés• A aques ciblées (de l'amateur à Stuxnet)• Au delà du système industriel (Aramco...)Exemples d'audits & tests d'intrusion eff ectués lors des missions HSCMesures de sécurité• Architecture, Filtrage IP, Journalisa on Incidents non ciblésSécurité organisa onnelle du réseau industriel : exercices pra ques• Architecture SCADA - Détermina on des zones et conduites - Points sensibles - Sécurisa on d'architecture• Détermina on des niveaux de classifi ca on ANSSI - Analyse basée sur le guide ANSSI rela f aux réseaux industrielsExercices techniques• Analyse de traces réseaux (pour débuter)• Comprendre les vulnérabilités du protocole Modbus/TCP • Forger des a aques ModBus• Explora on des limites du cloisonnement

PROGRAMME



SECDNS - DNSSEC

13

Réf :

SEC

DN

S

Le DNS est indispensable au bon fonc onnement d'intérêt et de tout réseau privé. S'il s'agit d'un des plus anciens protocoles, c'est aussi l'un des plus sensibles et des plus méconnus, dont la sécurité n'a été étudiée que tardivement. DNSSEC tente de remédier à certaines faiblesses de DNS, mais les contraintes et les nouveaux risques liés à la DNSSEC sont réels et ne par cipent pas à son déploiement rapide.

Afi n de maîtriser les risques et diffi cultés techniques du protocole DNS, afi n d'évaluer l'u lité réelle de DNSSEC pour la sécurité, il convient de maîtriser le fonc onnement de DNS et DNSSEC, par la théorie comme la pra que.


• Les connaissances techniques du protocole DNS et de l’extension DNSSEC• Confi gurer en pra que une installa on d’un resolver (Unbound) validant les réponses avec DNSSEC• Confi gurer une installa on DNSSEC avec OpenDNSSEC pour gérer les clefs et BIND pour servir les zones signées• Eviter les pièges du DNS• Déterminer l’intérêt réel d’un déploiement de DNSSEC dans votre environnement

PUBLIC VISÉ

• Administrateurs systèmes et réseaux• Responsable d’exploita on• Architecte

PRÉ REQUIS

Des connaissances préalables en administra on système et des protocoles réseaux TCP/IP sont nécessaires.


MATÉRIEL

• Supports au format papier en français• Ordinateurs portables mis à disposi on du stagiaire

CERTIFICATION

Forma on non cer fi ante.


DNS : spécifi ca ons et principes • Vocabulaire

- arbres, zones...- resolver, cache, authorita ve, fowarder...

• Organisa on - TLD, autres domaines, déléga ons...

• Protocole- RRSet, entêtes, couche de transport et EDNS- Problèmes liés aux pare-feux

• Les enregistrements (RR)- A, AAAA, PTR, SOA, NS, MX ...

• Fonc onnement interne- récursion et itéra on, fonc onnement de la résolu on, ...

Logiciels• Les couches logicielles

- "stub resolver", résolveur, rôle de l'application ...- Alterna ves à BIND

• Ou ls sur le DNS - zonecheck, dig, delv...

Sécurité du DNS• Les risques : modifi ca on non autorisée des données, piratage des serveurs, a aque via le routage ou autre "IP spoofi ng", emmpoisonnement de cache ... Ce qu'a apporté l'a aque Kaminsky.

Cryptographie • Pe t rappel cryptographie asymétrique, longueur des clés, sécurité de la clé privée ...

DNSSEC • Clés : l'enregistrement DNSKEY. Méta-données des clés. Algorithmes et longueurs des clés.• Signature des enregistrements : l'enregistrement RRSIG. Méta-données des signatures.• Déléga on sécurisée : l'enregistrement DS• Preuve de non-existence : les enregistrements NSEC et NSEC3

DNSSEC en pra que• Objec fs, ce que DNSSEC ne fait pas, les problèmes apportés par DNSSEC. • Protocole - bit DO et couche de transport (EDNS) - Problèmes liés aux pare-feux • Créer une zone signée à la main -"dnssec-keygen, -signzone, named-checkzone/conf • Confi gurer le résolveur Unbound pour valider• Vérifi er avec dig et delv• Déboguage• Déléga on d'une zone. Tests avec dnsviz• Renouvellement de clés • Créer une zone signée avec DNSSEC

Retour d'expérience • Zone racine• Domaines de premier niveau (.fr, .se, .org, ...)• Zones ordinaires signées • Stockage des clés. Les HSM.• Problèmes opéra onnels (re-signature, supervision)

Conclusion

PROGRAMME

En partenariat avec l'

SECDNS DNSSEC22 au 23 novembre 2018 • Paris




SECARC - Architectures réseaux sécurisées

14

Réf :

SEC

ARC

SECARC ARCHITECTURES RÉSEAUX SÉCURISÉES23 au 25 mai 2018 • Paris 28 au 30 novembre 2018 • Paris

Wi-Fi, Cloud, BYOD, IoT. Derrière chacune de ces vagues marke ng successives, il y a des choix de concep on à faire.Des choix qui doivent tenir compte des nouvelles possibilités, des contraintes spécifi ques à ces technologies et de la cohabita on avec l'existant.Parmi toutes ces vagues marke ng, les mécanismes sous-jacents diff èrent peu : les concepteurs sont confrontés aux probléma ques de gérer l'authen fi ca on des u lisateurs, de gérer les accès, d'assurer la résilience de l'infrastructure et son main ent. Il importe donc que les personnes concernées dans la concep on ou l'évalua on des architectures possèdent les briques de base, qui sontnécessaires pour intégrer la sécurité dès les prémices des projets.


• Les caractéris ques d'une architecture sécurisée et comment les prendre en compte dans le cadre d'architectures spécifi ques• À sécuriser les architectures communément mises en œuvre dans les entreprises• À évaluer la sécurité d'une architecture donnée• À iden fi er les choix structurant l'architecture de vos prochaines solu ons• À prendre en compte la sécurité dans les choix d'architecture et connaître les points d'a en on qui y sont liés

PUBLIC VISÉ

Toutes les personnes confrontées à la sécurité des architectures des systèmes d'informa on :• Architectes des réseaux, architectes applica fs• Chefs de projets informa ques• Responsables informa que ou sécurité• Équipes informa que ou sécurité• Consultants et auditeurs techniques ou de SMSI• Ges onnaires de risques

PRÉ REQUIS

Avoir une culture générale en informa que avec une connaissance :• de base en réseau• du fonc onnement de base des protocoles TCP/IP

Méthode pédagogique • Cours magistral interac f avec des exemples pra ques et des travaux pra ques sur la concep on et l'évalua on d'architectures.

MATÉRIEL

• Supports intégralement en français.

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on SECARC. Toutes les ques ons de l'examen sont issues des supports de cours de la forma on. L'examen se passe le dernier jour de la forma on.


Introduc on• Principes de sécurisa on, éléments sensibles, objec fs de sécurité

Architecture d'administra on et d'authen fi ca on• Protocoles d'administra on et usages : RDP, WinRM, SSH, VNC• Authen fi ca on et autorisa on cen- tralisée : LDAP, NTLM, RADIUS, Kerbe- ros• Référen els centralisés : OpenLDAP, Ac ve Directory• Déléga on de l'authen fi ca on : SSH Agent, relais Kerberos• Authen fi ca on forte : Principes, OAuth, U2F, Ac vCard• Authen fi ca on des administrateurs et services : ForÃªts, LAPS, bas ons

Réseaux et segmenta on• IPv4, IPv6• Composants : Concentrateur, pare-feu, diode, WDM, NIDS/NIPS, répar teur• Segmenta on physique : Interfaces RJ45, ports consoles, 802.1x• Segmenta on réseau, découpage ver cal : VLAN, 802.1Q, VxLAN, VRF, PVLAN• Routage : Sta que vs. dynamique, OSPF, RIPE, BGP, BATMAN• Filtrage : Règles fondamentales, matrice de fl ux, local vs. central• So ware-defi ned network• Relais applica fs : Proxy, reverse proxy

Architecture générale• Systèmes autonomes• Segmenta on horizontale et administra on "out-of-band"• Posi onnement des éléments de sécurité

Connexion distante• Connexion à distance et interconnexion mul -sites : MPLS, VPN IPSec, TLS

Postes de travail• Segmenta on par virtualisa on, VDI, BYOD vs. COPE

Architecture Windows• Architecture de domaines, DC et RODC, approba on et déléga on

Architecture applica ves• Accès Internet• Architectures 2- ers, 3- ers ; Requêtes RPC• Stockage : SAN, NAS, partages réseaux SMB, NFS, EDI, ETL, ERP

Architectures des fonc ons d'infras-tructure et de sécurité• DHCP et usage• DNS : Interne, public, journalisa on, DNSSEC• SMTP : émission interne, récep on de courriel• Journalisa on et SIEM, Synchronisa on horaire• Supervision• Mise à jour ; Confi gura on et déploiement : GPO, Puppet, Ansible, Chef• Cryptographie : PKI, authen fi ca on des serveurs, CRL vs. OCSP, HSM

Con nuité et haute disponibilité• No on de SPOF• Réseau : Agréga on de liens, clusters, adresses IP virtuelles, boucles• Équipements simples : Répar on de charge, réplica on de données• Sauvegarde : Push vs. pull• Con nuité d'ac vité : Interdépendance des composants, infrastructure de crise, architectures temporaires, reprise et bascule

Réaliser des choix d'architecture• Loi et réglementa on : Classifi é de défense, PDIS, LPM et SIIV, PCI DSS• Cloud : IAAS / PAAS / SAAS et intégra on à l'architecture existante• Virtualisa on• Existant et (rétro-) compa bilité• U lisa on de cadriciels

Architectures spécifi ques• Environnements de produc on et hors produc on• Imprimantes et scanneurs• Audio (VoIP) et vidéo• Interconnexion fi liales/partenaires• Infrastructure virtuelle• Réseaux wi-fi • Réseaux libre-service : Wi-fi visiteur, bornes publiques• Architectures industrielles• IoT ; Appareils mobiles• Grid, architectures n- ers, distribuées : Hadoop, P2P• Mainframes• Sécurité physique• Explora on des limites du cloisonnement

PROGRAMME



INFO 1 - Inforensique : les bases d'une analyse post-mortem

15

Réf :

INFO

1

L’inves ga on inforensique permet de collecter et d’analyser des éléments ayant valeur de preuve en vue d’une procédure judiciaire. L’objec f principal est donc la récupéra on et l’analyse de données prouvant un délit numérique.


• Gérer une inves ga on numérique sur un ordinateur• Acquérir les médias contenant l'informa on • Trier les informa ons per nentes et les analyser• U liser les logiciels d'inves ga on

PUBLIC VISÉ

• Toute personne souhaitant se lancer dans l'inforensique - Premier pas dans l'inves ga on numérique.

PRÉ REQUIS

Avoir des bases en informa que (Windows & Linux) et être intéressé par le sujet.


MATÉRIEL

• Supports au format papier en français• Ordinateurs portables mis à disposi on du stagiaire• Kit inves ga on numérique

CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on INFO1 HSC by Deloi e.


Jour 1 • L'inforensique - Présenta on de l'inforensique - Périmètre de l'inves ga on - Trousse à ou l - Méthodologie "First Responder"• Analyse Post-mortem - Les disques durs - Introduc on aux systèmes de fi chiers - Horodatages des fi chiers - Acquisi on des données : Persistante et vola le - Ges on des supports chiff rés - Recherche de données supprimées - Sauvegardes et Volume Shadow Copies - Aléas du stockage fl ash• Registres Windows - Les structures de registres Windows ▪ U lisateurs ▪ Systèmes• Analyse des journaux - Évènements / an virus / autres logiciels

Jour 2 - Scénarii d'inves ga on• Téléchargement/Accès à des contenus confi den els• Exécu on de programmes• Traces de manipula on de fi chiers et de dossiers• Fichiers supprimés et espace non alloué - Carving• Géolocalisa on - Photographies (données Exifs) - Points d'accès WiFi - HTML5• Exfi ltra on d'informa ons - Périphérique USB - Courriels ▪ Journaux SMTP ▪ Acquisi on coté serveur ▪ Analyse client messagerie• U lisateurs abusés par des logiciels malveillants

Jour 3 - Interac on sur Internet• U lisa on des Navigateurs Internet

- IE/Edge / Firefox- Chrome / Opera

• Ou l de communica ons/collabora fs

- Slack / Skype / Pinyin- Messenger / Telegram

• Présenta on des principaux artefacts- Systèmes OSX- Systèmes Linux

Jour 4 - Inforensique réseau• Pourquoi et comment faire de l'Inforensique réseau• Avantages, faiblesses, complémentarité et limites• Diff érents type de preuves et de sources de données réseaux• (Journaux, PCAP, Ne low; DNS, Pare-feu, Proxy, Switch, Routeur, Syslog, etc.)• Exemple d'évènements créés par un scénario simple• Analyse de journaux DNS, DHCP, Proxy, pare-feu• Analyse de paquets

- Réduc on de données - Les protocoles standards, les autres et les RFCs

• Caractéris ques des C&C et infl uence sur les données réseaux• Canaux de contrôle et d'exfi ltra on (tunneling / asynchrone / pulling)• Éléments de reconnaissance / signature

Jour 5 - Vue d'ensemble• Créa on et analyse d'une frise chronologique• Corréla on d'évènements• Cer fi ca on (QCM)• Examen

PROGRAMME

INFO1 INFORENSIQUE : LES BASES D'UNE ANALYSE POST MORTEM9 au 13 avril 2018 • Paris 10 au 14 septembre 2018 • Paris



INFO2 – Inforensique avancée : industrialisez les enquêtes sur vos infrastructures

16

Réf :

INFO

2

INFO2 INFORENSIQUE AVANCÉE 17 au 21 décembre 2018 • Paris

Aujourd'hui, de plus en plus d'entreprises sont vic mes d'a aques complexes mo vées par l'espionnage économique. Êtes-vous armé pour la réponse aux incidents et l'inves ga on d'a aques persistantes avancées (APT) ? En s’appuyant sur les connaissances acquises en forma on INFO1, la forma on INFO2 vous prépare à une réac on effi cace à ces a aques.


• Appréhender la corréla on des événements• Retro-concevoir des protocoles de communica ons• Analyser des systèmes de fi chiers corrompus• Connaître et analyser la mémoire vola le des systèmes d'exploita on des événements

PUBLIC VISÉ

• Tout membre d'une équipe de réponse à incident qui est amené à traiter des incidents de sécurité ou intrusions complexes émanant de menaces sophis quées• Professionnel de l'inforensique qui souhaite renforcer et développer ses connaissances de l'inforensique et de la réponse aux incidents• Membres d'agences gouvernementales ou détec ves qui souhaitent maîtriser l'inforensique et étendre leur champ de compétences en inves ga on pour pouvoir traiter les cas de fuites d'informa ons, d'intrusion et d'analyses techniques avancées• Experts en sécurité avec une expérience en tests d'intrusion, réponse aux incidents et écriture d'exploits• Responsables sécurité qui désirent maîtriser l'inforensique pour en comprendre les implica ons en sécurité de l'informa on et les probléma ques liées aux éventuelles poursuites découlant d'un incident ou tout simplement pour gérer une équipe de réponse à incident.

PRÉ REQUIS

• Avoir de l'expérience en analyse post-mortem ou• Avoir suivi la forma on INFO1• Connaissance des principaux artefacts Windows (ac ons u lisateurs/système)

Méthode pédagogique • Cours magistral• Travaux pra ques

MATÉRIEL

• Ordinateurs portables mis à disposi on du stagiaire• Clé USB 64Go avec les données u lisées en travaux pra ques• Supports intégralement en français

CERTIFICATION



Module 1: Intrusion en entreprise• Présenta on - Étapes d'une intrusion - Impact de celles-ci - Comment réduire le délai ?• Indices de compromission (IOC) - Créa on - Déploiement • Acquisi on d'informa ons à distances - Artefacts clés - Powershell - Agents GRR• Détec on du périmètre - Journaux d'événements : Capture, Corréla on - Balayage d'entreprises : IOC, Powershell

Module 2 : Systèmes de fi chiers• Analyse des systèmes de fi chiers NTFS, EXTx, HFS+: - Structure interne (métafi chiers); - Boot Sector; • Recouvrement d'informa ons supprimées : - Modifi ca on des métadonnées; - Suppression de documents; - Recherche par mo fs• Reconstruc on d'un système de fi chiers - Master Boot Record - Table des par ons ▪ DOS ▪ GPT

Module 3: Analyse de la mémoire• Introduc on - Pourquoi analyser la mémoire - Ou ls d'acquisi on ▪ Drivers, Machines virtuelles, DMA - Ou ls d'analyse ▪ Rekall, Vola lity, Windbg• Présenta on des principales structures mémoires - Linux / MacOS / Windows

• Analyse de la mémoire - Processus ▪ Processus "cachés" ▪ Traces d'injec on de code ▪ Process-Hollowing ▪ Shellcode - Détec on et analyses ▪ Handles - Communica ons réseau - Noyaux : Hooking, Memory Pool - Traces d'ac ons u lisateurs ▪ Artefacts du système d'exploita on

Jour 4 : Automa sa on des opéra ons• Créa on d'une meline - Systèmes - Mémoire• Corréla on entre diff érentes meline• Examen

PROGRAMME



INFO3 – Rétro-ingénierie de logiciels Malfaisants

17

Réf :

INFO

3

L'analyse des logiciels malfaisants cons tue une discipline primordiale et nécessaire durant les inves ga ons numériques et lors des réponses à incident. Ou l principal des analystes en inves ga on numérique pour déterminer les éléments clé d'un logiciel malfaisant, il donne un cap pour orienter leur inves ga on et perme re aux équipes de réponse à incident d'iden fi er les indicateurs de compromission (IOCs), informa ons capitales dans le traitement des incidents.


• Qualifi er la menace d'un logiciel malfaisant et en par culier : - Mise en place d'un laboratoire d'analyse des logiciels malfaisants - Prépara on de l'ou llage d'analyse - Analyse comportementale de logiciels malfaisants - Analyse sta que et dynamique de codes malfaisants - Introduc on à l'architecture x86 - Iden fi ca on des structures logiques (boucles, branchement...) - Iden fi ca on des mo fs u lisés par les logiciels malfaisants en analysant le code - Analyse de la mémoire - Contournement de techniques d'autoprotec on

PUBLIC VISÉ

• Professionnel de la sécurité souhaitant acquérir des connaissances en analyse de codes malfaisants• Personnel d'équipes de réponse à incident souhaitant réaliser des analyses avancées des menaces rencontrées• Toute personne intéressée par l'analyse des logiciels malfaisants et ayant des connaissances en Windows et langage de bas niveau

PRÉ REQUIS

• Connaître le système Windows et avoir les bases en programma on ainsi qu’en réseau

Méthode pédagogique • Cours magistral avec manipula ons et exercices pra ques• Forma on dispensée en françaisMATERIEL

MATÉRIEL

• Ordinateurs mis à disposi on du stagiaire• Supports en français.

CERTIFICATION



INFO3 RÉTRO INGÉNIÉRIE DE LOGICIELS MALFAISANTS2 au 6 juillet 2018 • Paris

1. Mise en place des Bases• Introduc on Ã l'analyse de malware : processus et méthodologie• Technique d'analyse sta que : revue de code, analyse des metadata• Technique d'analyse comportementale• Construc on du laboratoire et boite Ã ou ls• Cas d'analyse• Introduc on au langage assembleur : x86 et x64• Présenta on des instruc ons de bases• Présenta on des structures de contrôles• Introduc on à IDA pro• Chaine de compila on et binaires• Exercices

2. Mécanismes internes de Windows et techniques de débogage • Présen ons de l'architecture interne du système d'exploita on Win- dows• Présenta on du format PE et ses caractéris ques• Introduc on des structures du noyau Windows (PEB, TEB, System Call table, etc)• Exercices traitant les techniques de débogage Windows• Cas d'analyse

3. Malware et techniques de protec on • Techniques d'obscurcissement de code et études de diff érents types de packer• Techniques an -débogage• Techniques an -désassemblage• Techniques d'obscurcissement du fl ux d'exécu on• Techniques d'évasion (an -virtualisa on, fur vité)• Techniques d'un packing (automa sées et manuelles) et iden fi ca on de l'OEP • Cas d'analyse• Présenta ons des fonc onnalités des malwares Ã travers les API windows• Rootkits : mode u lisateur et noyau• Keyloggers• Sniff ers• Ransomwares• Bots et C2• Techniques d'analyse de shellcode

4. Autres formes de malwares• Techniques d'instrumenta on de binaires (IDA Appcall, Miasm, Frida, etc)• Techniques d'analyse du contenu dynamique des malwares Web (Javascript/Vbscript)• fi le:///C|/Users/benchikh/AppData/Local/Temp/planForma on-1. txt[01/02/2017 09:42:43]• Analyse des applica ons .NET• Analyse des fi chiers PDF• Analyse des documents Offi ce• Analyse de la mémoire comme ou l d'aide à l'analyse des malwares

5. L'analyse de malware, une brique de la réponse à incident• Analyse de malware dans le cadre d'une réponse à incident• Ges on des IOC : construc on et publica on

Challenge• Mise en pra que de toutes les connaissances et compétences acquises lors de la forma on

PROGRAMME



SECDRIS – Surveillance, détec on et réponse aux incidents SSI

18

Réf :

SEC

DRI

S

SECDRIS SURVEILLANCE, DÉTECTION ET RÉPONSE AUX INCIDENTS SSI

28 mai au 1er juin 2018 • Paris 17 au 21 septembre 2018 • Paris

En 2015, c'est en moyenne après 5 mois (*) de présence sur le

réseau de leur vic me que les a aquants sont découverts, et ce en

majorité par des acteurs externes aux organisa ons concernées.

Parallèlement, la moné sa on croissante des compromissions

renforce la mo va on et la professionnalisa on des

a aquants. Ces 2 constats à eux seuls doivent nous pousser

à changer notre façon d'aborder la sécurité : la préven on

demeure certes indispensable, mais elle n'est plus suffi sante.

Une ges on effi cace des incidents de sécurité nécessite de

connaître le fonc onnement des cyber-a aques afi n de

pouvoir les détecter et y répondre de manière appropriée.

Basée sur le retour d'expérience d'experts en sécurité, ce e

forma on, en détaillant diff érents scénarios de compromission,

apporte les points clés perme ant d'élever de façon signifi ca ve

le niveau de sécurité de votre organisa on en approfondissant

les aspects souvent délaissés que sont la détec on et la réponse.(*) source Fireye M-Trends 2016 - h ps://www.fi reeye.fr/content/dam/f i r e e y e - w w w / g l o b a l / e n / c u r r e n t - t h r e a t s / p d f s / I n f o g r a p h i c - m t r e n d s 2 0 1 6 . p d f


• Comprendre les menaces et a aques sur les réseaux et systèmes• Iden fi er les indicateurs de compromission (IOC)• Me re en oeuvre les diff érents moyens de surveillance et de détec on• An ciper et limiter l'impact des a aques• Maîtriser les diff érentes étapes de ges on des incidents de sécurité

PUBLIC VISÉ

• Membres d'une équipe de sécurité opéra onnelle (SOC)• Membres d'une équipe de réponse aux incidents (CSIRT)• Administrateurs• Responsables sécurité

PRÉ REQUIS

• Avoir de bonnes connaissances en sécurité informa queou• Avoir suivi la forma on SECU1

Méthode pédagogique • Cours magistral• Travaux pra ques• Forma on dispensée en français

MATÉRIEL• Ordinateurs portables mis à disposi on du stagiaire• Support intégralement en français

CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on SECDRIS HSC by Deloi e.


Jour 1: Introduc on• Etat des lieux - Familles d'a aques - Techniques d'a aque et de défense usuelles - Détec on - Kill chain• Défense en profondeur• Aspects légaux• ISO 27035• Blue Team et Hunt Team - Principe de compromission préalable - Comment former son équipe

Jour 2 : Reconnaissance• Reconnaissance passive - Étude: Récupéra on de données publiques• Reconnaissance ac ve - Fuites d'informa ons - Reconnaissance réseau - Étude: Scanning• Détec on/réponse - Parefeux - IDS/IPS - Pots de miel• Préven on - Maîtrise de l'informa on - A aquer pour mieux se défendre

Jour 3 : Exploita on • Vulnérabilités• Les failles web - Étude: Injec on SQL• Défaut de mise à jour - Étude: OS obsolète• Mauvaise confi gura on - Étude: Rétro-compa bilité et MitM (Responder)• Le facteur humain• Détec on/réponse - WAF - IDS/IPS - Automa sa on• Préven on - Supervision sécurité con nue (CSM) - Développement sécurisé - Sécurisa on ac ve - Moindre privilège

Jour 4: Post-exploita on• Objec fs de l'a aquant - Exfi ltra on des données - Ransomware - Déni de service - Focus: C&C • Rebonds et mouvements latéraux - Pass the hash - Cassage de mots de passe - Étude: Du point d'entrée à la cible fi nale• Éléva ons de privilège - Étude: Objec f Domain Admin• Détec on/réponse• Préven on

Jour 5 : Persistance• Ne oyer une infrastructure Windows - Ticket d'argent et cket d'or - Les dessous d'Ac ve Directory• Persistance UNIX/Linux• Autres moyens employés• Examen de cer fi ca on

PROGRAMME


SECWEB – Sécurité des serveurs et applica ons web


19

Réf :

SEC

WEB

SECWEB SÉCURITÉ DES SERVEURS ET APPLICATIONS WEB18 au 22 juin 2018 • Paris 15 au 19 octobre 2018 • Paris

Les applica ons web cons tuent le point le plus vulnérable au sein des entreprises. Il n’est pas rare que des failles de sécurité donnent, par exemple, lieu à des vols de millions de numéros de cartes de crédit, à des dommages fi nanciers, à d’importants impacts sur l’image voire même à la compromission de milliers de machines d’internautes consultant le site web piraté. Ce e forma on présente les vulnérabilités classiques du Web à travers les tests d’intrusion et les moyens d'y remédier.


• Les enjeux de la sécurité d'un site web• Les méthodes d'a aques sur le web et comment s'en protéger• Les bases de la cryptographie, quand et comment l'u liser• Les méthodes d'authen fi ca on web• Les bonnes pra ques de développement sécurisé• Les techniques de protec ons des serveurs

PUBLIC VISÉ• Développeurs web• Architecte d'applica ons web ou de solu ons de sécurité web (pare-feu applica f...)• Administrateurs systèmes• Pentesters débutants

PRÉ REQUIS• Avoir une expérience dans le développement web ou des connaissances en Linux sont un plus


MATÉRIEL• Ordinateurs portables mis à disposi on du stagiaire• Supports intégralement en français

CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on SECWEB HSC by Deloi e..


Bases de la sécurité informa que• Cadre des menaces• Acteurs• Évolu ons• Vocabulaire et concepts de base de la SSI• Législa on et déontologie• Bases du web• Infrastructure web• Rappels HTTP• Présenta ons des services web• Same Origin Policy• Communica on "cross-domain"

Découverte/fuite d'informa ons • Analyse de l'environnement - Framework, librairies - Arborescence du site• Transfert de zone (DNS)• Scan de ports• Scan de vulnérabilités• Travaux pra ques

Les protocoles du web • Méthodes HTTP• SOAP• XMLRPC• Travaux pra ques

Le processus d'authen fi ca on• Principe de AAA• Méthodes d'authen fi ca on HTTP• Modèles de déléga on• Principes d'infrastructure Single Sign On

Ges on des sessions• Les cookies• Forge de requêtes intersites (CSRF)• Fixa on de session• Forge de cookies de session• Travaux pra ques

Les injec ons• Injec on coté serveur - Commandes - LDAP - SQL - XXE• Injec on coté client - XSS• Travaux pra ques

Les inclusions de fi chiers• Télé-versement de fi chiers• Inclusion de fi chiers locaux et dis-tants (LFI, RFI)• Travaux pra ques

Logique applica ve• Contournement de fl ux applica f• Filtrage mé er• Travaux pra ques

Éléments de cryptographie• Les bases : mécanismes, vocabulaire• Mécanismes pour chiff rement et authen fi ca on• Mécanismes de signature électro- nique• Cer fi cats x509

Chiff rement des fl ux de données• HTTPS, SSL, TLS ...• Choix des suites cryptographiques• Recommanda ons• Travaux pra ques

Chiff rement des données stockées• Stockage des mots de passe• Stockage des données sensibles• Travaux pra ques

Sécurité du navigateur• Entêtes de sécurité (CSP, HSTS, X-XSS...)

Sécurité du serveur• Durcissement de l'OS• Standardisa on des environnements• Ges on des privilèges• Sécurité du système de fi chiers • Ges on des journaux et traces• Analyse des fl ux

Sécurité des applica ons• Sépara on du code et des para- mètres• Connaissance et surveillance des librairies u lisées

Audit des applica ons• Revues de code• U lisa on du fuzzing• Usage du test d’intrusion (Pentest)

Sécurité et processus de développe-ment• No ons d'analyse de risque projet• Analyse des menaces• Formalisa on• Intégra on con nue et tests des fonc ons de sécurité• DevOps probléma ques et enjeux• Versioning• Ges on des vulnérabilités• Ges on des patchs

Examen

PROGRAMME


SECWIN – Sécurisa on des infrastructures Windows


20

Réf :

SEC

WIN

PROGRAMMEPar e intégrante des réseaux d'entreprise, on trouve les OS Windows à tous les niveaux de nos systèmes d'informa on. Du point de vue des a aquants, ils représentent une cible privilégiée, tant pour la compromission ini ale que comme moyen de persistance. C'est pourquoi sécuriser et administrer effi cacement Windows est primordial.

Basée sur le retour d'expérience d'administrateurs et d'experts en sécurité, ce e forma on donne les points clés perme ant d'élever de façon signifi ca ve le niveau de sécurité de votre infrastructure.

VOUS ALLEZ APPRENDRE À • Sécuriser une infrastructure Windows• Connaître les chemins d'a aque classiques et les contre-mesures• Appliquer les confi gura ons par diff érents moyens• Administrer avec Powershell

PUBLIC VISÉ• Administrateurs Windows• Experts en sécurité• Architectes sécurité Windows• Responsables sécurité

PRÉ REQUIS• Expérience en administra on WindowsOu • Bonnes connaissances en sécurité Ou• Avoir suivi la forma on SECU1


MATÉRIEL• Ordinateurs portables mis à disposi on du stagiaire• Supports intégralement en français

CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on SECWIN HSC by Deloi e.


Jour 1 : Connaître ses ou ls• Introduc on• Ac ve directory - Présenta on - Ou ls d'administra on - Stratégies de groupe: fonc onne-ment - Stratégies de groupe: contenu• Powershell - Principes - Les indispensables - Le langage• PowerShell Desired State Confi gura- on (DSC)

- Introduc on - Composants - Mise en applica on

Jour 2 : Durcissement système• Types d'installa on• Rôles et fonc ons• Autres pistes de minimisa on• Services• Taches planifi ées• Défense en profondeur - Applocker - Durcissement mémoire - Secure Boot - Bitlocker • Mises à jour• Journalisa on

Jour 3 : Ges on des privilèges• Introduc on à NetFlow (protocole et composants)• Les formes de pouvoir• Scénarios d'a aque classiques - Récupéra on de mots de passe - Pass-the-hash - Eléva on de privilèges - Compromission du domaine - Persistance: golden cket et autres techniques• Eviter les éléva ons de privilèges - Pra ques à risques - Solu ons - Implémenta on ▪ Ges on des groupes locaux ▪ LAPS ▪ Déléga on ▪ JEA (Just Enough Admin) ▪ Autres bonnes pra ques

Jour 4 : Sécurité réseau• Scénarios d'a aque classiques• Parefeu• IPsec• Authen fi ca on• Autres protocoles• Auditer son infrastructure• Microso Azure

Jour 5 : PKI Windows et authen fi ca-

on forte• PKI - Principes d'une PKI - Avantages et inconvénients de la PKI Windows - Enrôlement et révoca on - Protec on des clefs privées• Authen fi ca on forte• Cartes à puce• Biométrie• Examen

SECWIN SÉCURISATION DES INFRASTRUCTURES WINDOWS10 au 14 décembre 2018 • Paris



21

Réf :

SEC

LIN

SECLIN - Expert sécurité Linux (LPI303)

SECLIN EXPERT SÉCURITÉ LINUX LPI 303

17 au 21 décembre 2018 • Paris

Cryptographie• OpenSSL• U lisa on avancée de GPG• Systèmes de fi chiers chiff rés

Contrôle d'accès• Contrôle d'accès selon l'hôte• A ributs étendus et ACL• SELinux• Autres systèmes de contrôle d'accès obligatoire

Sécurité applica ve• BIND/DNS• Services de courrier électronique• Apache/HTTP/HTTPS• FTP• OpenSSH• NFSv4• Syslog

Opéra ons de sécurité• Ges on de confi gura on

Sécurité réseau• Détec on d'intrusion• Balayage pour la sécurité réseau• Supervision réseau• ne ilter/iptables• OpenVPN

Système d'exploita on Windows et durcissement des applica ons• Logiciels résistants aux malware• Me re à jour des logiciels vulnérables• Durcissement du système avec les patrons de sécurité• Durcissement avec les poli ques de groupe• Appliquer les mesures de sécurités essen elles

Contrôle d'accès dynamique et restreindre la compromission des comptes d'administra on• Contrôle d'accès dynamique (DAC)• Compromission des droits d'administra on• Ac ve Directory : permissions et déléga on

IGC Windows • Pourquoi avoir une IGC• Comment installer une IGC Windows• Comment gérer votre IGC• Déployer des cartes à puce

Protocoles dangereux, IPSec et Windows Firewall• Protocoles dangereux• Windows Firewall et IPSec• Pourquoi IPSec ?• Créer des poli ques IPSec

Écriture de scripts PowerShell • Généralités sécurité• Familiarisa on avec PowerShell• Exemples de commandes• Ecrire vos propres scripts• Windows Management Instrumenta on (WMI)

PROGRAMMESécuriser un serveur Linux passe par la réponse aux probléma ques de sécurité classiques : authen fi ca on, accès au système de fi chier, de la mémoire, des applica ons et compréhension des méthodes d’a aque. La ges on de la sécurité Unix s’appuyant sur la maîtrise d’ou ls libres, la forma on LPI 303 met en situa on le stagiaire avec de nombreux exercices pra ques.


• Gérer en profondeur les problèmes de sécurité liés aux systèmes Linux• Réduire ou éliminer les risques sur les systèmes de type Linux• Confi gurer les services courants pour qu’ils soient robustes avant leur mise en produc on (Apache, BIND, …)• S’assurer de l’intégrité des données sur les serveurs Linux• Maîtriser les ou ls perme ant de répondre aux incidents de sécurité

PUBLIC VISÉ

• Professionnels de la sécurité• Administrateurs systèmes expérimentés• Auditeurs et ges onnaires d’incidents

PRÉ REQUIS

• Avoir les bases en administra on de systèmes Unix (3 à 5 ans d’expérience) • Ou avoir la cer fi ca on LPIC-2

Méthode pédagogique • Cours magistral avec manipula ons et exercices pra ques• Forma on dispensée en françaisMATERIEL

MATÉRIEL

• Ordinateurs mis à disposi on du stagiaire• Supports en français.

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on n°303 "LPI-Security" perme ant de valider les compétences du stagiaire en sécurité Linux.Ce e cer fi ca on "LPI-Security" permet d'obtenir la cer fi ca on "LPIC-3", le niveau le plus élevé de cer fi ca on Linux.Pour avoir la cer fi ca on "LPIC-3", il faut :• soit avoir le niveau "LPIC-2" et réussir l'examen n°303 "LPI-Security", • soit avoir réussi les examens 101, 102, 201, 202 et 303. Il n'y a pas d'ordre de passage donc vous pouvez passerces examens après votre examen 303 "LPI-Security".L'examen se passe soit chez HSC à l'issue de la forma on, soit dans un centre d'examen Pearson VUE a la date de votre choix.




22

Réf :

INTR

U1

INTRU1 - Tests d'intrusion et sécurité off ensive

INTRU1 TESTS D'INTRUSION ET SÉCURITÉ OFFENSIVE

14 au 18 mai 2018 • Paris 12 au 16 novembre 2018 • Paris

L’intérêt des tests d’intrusion pour évaluer la sécurité d’un système informa que n’est aujourd’hui plus à démontrer. Ils perme ent de découvrir des vulnérabilités majeures, montrent comment un a aquant peut progresser au sein du réseau ciblé. Enfi n, ils perme ent de répondre aux exigences de nombreuses normes.


• me re en pra que les techniques d'intrusion les plus récentes sur les principales technologies du marché (systèmes d'exploita on, bases de données, applica ons Web, etc.)

PUBLIC VISÉ

• Experts en sécurité, consultants ou auditeurs internes dont le rôle est de vérifi er la sécurité des systèmes informa ques • Administrateurs systèmes ou réseaux, chefs de projets, ou responsables sécurité voulant mieux comprendre les techniques des a aquants pour ainsi mieux sécuriser leurs système

PRÉ REQUIS

• Avoir une expérience dans l'u lisa on des systèmes Windows et UNIX/Linux• Avoir une connaissance des principaux protocoles de la suite TCP/IP• Des connaissances dans l'administra on de bases de données ainsi que dans le développement d'applica on Web sont un plus mais ne sont pas indispensables.


MATÉRIEL

• Ordinateurs portables mis à disposi on du stagiaire• Supports intégralement en français.

CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on INTRU1 HSC by Deloi e.


PROGRAMME

Introduc on aux tests d'intrusion• Présenta on de l'architecture des travaux pra ques• Méthodologie des tests d'intrusion• Prépara on et ges on d'un test d'intrusion• Législa on et déontologie

Découverte réseau et qualifi ca on des cibles• Rappels TCP/IP• Découverte/fuite d'informa on• Analyse de l'environnement• Généra on de paquets• Scan de port• Présenta on de Nessus

A aque réseau• Écoute du réseau local• A aque des interfaces d'administra on• A aque "Man-in-the-middle"/ARP spoofi ng• A aque des routeurs• Tunneling

Intrusion sur les applica ons web• Infrastructure Web• Rappels HTTP• Prise d'empreinte• Présenta on des webshells• Injec on de code SQL, de commande, inclusion de fi chier• XSS et CSRF

Découverte des mots de passe• Généralités• Généra on des empreintes• Méthodes et ou ls de cassage d'empreinte

U lisa on de Metasploit• Présenta on du framework• Méthodologie d'intrusion avec Metasploit• Présenta on de Meterpreter

Intrusion sur les postes clients• Évolu on des menaces• Prise d'empreintes des logiciels• A aques et prise de contrôle d'un poste client• Pillage et rebond

Intrusion sur les bases de données• Introduc on et rappels SQL• Intrusion MySQL• Intrusion SQL Server• Intrusion Oracle

Intrusion sur les systèmes Windows• Iden fi ca on des machines et des services• Récupéra on d'informa on Ã distance / sessions nulles• Récupéra on d'informa ons locales• Authen fi ca on sous Windows et récupéra on des empreintes• A aque hors ligne• Éléva on de privilèges

Intrusion sur les systèmes Unix/Linux• Sécurité sous Unix/Linux• Sor r de la cage• A aque par le réseau• A aque locale

Examen



23

Réf :

INTR

U2

INTRU2 - Tests d'intrusion avancés et développement d'exploits

Des vulnérabilités sont découvertes tous les jours au sein des systèmes d’informa on et avec elles, de nouvelles menaces apparaissent employant des méthodes d’a aques avancées.


• Savoir eff ectuer un test d'intrusion contre des services réseaux (routeurs, switch)• Comprendre comment exploiter les erreurs de cryptographie• Savoir u liser python et powershell en tests d'intrusion• Comprendre et me re en oeuvre des découvertes de vulnérabilités par le fuzzing• Ecriture d'exploit sous Linux et Windows et contournement de protec ons.

PUBLIC VISÉ

• Stagiaires ayant suivi la forma on SANS SEC 560• Experts en tests d’intrusion• Développeurs expérimentés• Experts de la ges on des incidents• Experts de la détec on d’intrusion

PRÉ REQUIS

• Avoir suivi la forma on INTRU1• Avoir de bonnes bases en tests d'intrusion• Avoir une expérience de minimum 3 ans dans le domaine de la sécurité technique


MATÉRIEL

• Ordinateurs portables mis à disposi on du stagiaire• Supports intégralement en français

CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on INTRU2 HSC by Deloi e.


INTRU2 TESTS D'INTRUSION AVANCÉS3 au 7 décembre 2018 • Paris


Python pour les tests d'intrusion• Introduc on• HTTP• Scapy• A aque par fuzzing• Fuzzing avec Sulley

Powershell• Introduc on• HTTP• Powersploit• Nishang• Empire

A aques réseaux• arp spoofi ng• network protocols - bgp - ospf - hsrp• vlan hopping• A aques sur PXE

Vulnérabilités web avancées• Sérialisa on d'objets• Injec on SQL en aveugle• XXE• A aquer HTTP/2• Websockets• Contourner les wafs

Crypto • Analyse de la cryptographie• Réu lisa on d'IV• CBC bit fl ipping• Padding Oracle

Développement d'exploit Linux et Windows (presque 2j)• Introduc on à l'assembleur X86• Descrip on de la pile• Conven ons d'appels• Dépassement de pile• Protec on contre les dépassements de tampons• Contournement des protec ons• ret2libc, rop,• Introduc on aux dépassements de tampon sur le tas

Demi-journée CTF / cas fi nal •

PROGRAMME


24

Réf :

Dro

it SS

I


Droit de la sécurité informa que

DROIT DE LA SÉCURITÉ INFORMATIQUE14 au 16 mai 2018 • Paris 5 au 7 décembre 2018 • Paris

La conformité juridique est aujourd'hui un aspect essen el de la sécurité de l'informa on. Or, les obliga ons à respecter sont nombreuses et pas toujours faciles à comprendre et à respecter, notamment par les non-juristes. Pour ces derniers, il est donc indispensable d'acquérir une connaissance pra que, concrète et pragma que du droit de la sécurité informa que, qui leur perme ra d'évaluer et de renforcer le niveau de conformité de leur organisme.


• La signifi ca on pra que des règles juridiques• Comment appliquer les règles juridiques de façon concrète et pragma que• Comment renforcer effi cacement le niveau de conformité de votre organisme

PUBLIC VISÉ

Toutes les personnes impliquées dans la sécurité informa que:• RSSI• DSI• Administrateurs systèmes et réseaux• Astreintes opéra onnelles• Maîtrises d'œuvre de la SSI• Chefs de projet• Responsables de compte• Consultants

PRÉ REQUIS

• Aucun. Il n'est pas nécessaire de disposer de connaissances en droit ou en informa que pour suivre ce e forma on.

Méthode pédagogique • Explica on des no ons juridiques en langage courant• Cours magistral totalement interac f• Forma on dispensée en français

MATÉRIEL

• Support de cours en français au format papier.

CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h00 à 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on DSSI HSC by Deloi e.


PROGRAMME

No ons juridiques essen ellesConsulter les règles applicables et suivre l’actualitéInforma que et libertés• Origines et cadre juridique• Fondamentaux• Champ d’applica on de la loi• Cadre pénal général• Périmètre d’un traitement• Condi ons de licéité des traitements• Formalités préalables• Informa on des personnes concernées• Droits des personnes concernées• Obliga on de sécurité• Transferts hors Union européenne• Sanc ons prononçables par la CNIL• Saisine du parquet• Évolu ons possibles avec le projet de règlement européen

Communica ons électroniques • No ons fondamentales• Secret des correspondances• Cryptologie• Brouillage des communica ons• Contrôles de sécurité sur les opérateurs• Filtrage

Conserva on des traces • Données rela ves au trafi c• Données d'iden fi ca on des créateurs de contenus• Accès administra f aux données de connexion• Autres traces

A eintes aux STAD• Cadre juridique• Réagir à une a einte• Conséquences en droit social

Surveillance des salariés• Pouvoir de contrôle de l'employeur• Respect de la vie privée « résiduelle »• Courriers électroniques• Fichiers• Naviga on web• Accès à l'ordinateur du salarié

Administrateurs systèmes et réseaux

Charte informa que

25



Réf :

GD

PR

GDPR / RGPD

GDPR / RGPD12 au 13 février 2018 • Paris24 au 28 avril 2018 • Paris21 au 22 juin 2018 • Paris

11 au 12 octobre 2018 • Paris13 au 14 décembre 2018 • Paris

Le règlement européen sur la protec on des données personnelles vient refondre le cadre juridique applicable en ma ère « informa que et libertés ». Il apporte de nombreuses évolu ons par rapport au cadre actuel, en exigeant notamment une véritable gouvernance de la protec on des données. Par conséquent, il importe d’an ciper dès à présent ses disposi ons, d’autant que le délai de 2 ans laissé aux organismes pour se préparer, et qui amène à une applica on aux alentours du printemps 2018, est signifi ca f de l’ampleur des tâches à mener.


• Quelles sont les évolu ons apportées par le règlement ?• Quelles sont leurs implica ons opéra onnelles ?• Comment se préparer effi cacement à l’applica on du règlement ?

PUBLIC VISÉ

• Futurs DPO• Responsables « informa que et libertés »/vie privée• Juristes• Direc ons• RSSI

PRÉ REQUIS

• Connaître les bases de la loi « informa que et libertés » est un plus.

Méthode pédagogique • Cours magistral avec échanges interac fs• Exercices pra ques• Forma on dispensée en français

MATÉRIEL


CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h00 à 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on GDPR HSC by Deloi e.


PROGRAMME

Introduc on• Fondamentaux juridiques• Historique et avenir du règlement européen• Enjeux de la protec on des données personnelles

Fondamentaux de la protec on des données• Champ d’applica on du règlement• Principes fondamentaux - Privacy by Design, Privacy by default…• No ons essen elles et acteurs - Données à caractère personnel, traitement, etc. - Autorité de contrôle (pouvoirs, guichet unique, etc.) - Comité européen à la protec on des données - DPO - Etc.• Responsabilités (responsabilité du DPO, du sous-traitant, responsabilité conjointe, etc.) et sanc ons

Missions du responsable de traitement et du sous-traitant• Désigner un DPO• Réaliser une analyse d’impact (PIA : Privacy impact assessment• Consulter au préalable l’autorité de contrôle• Tenir un registre des ac vités de traitements• Veiller aux données par culières (données sensibles, judiciaires, protec on des mineurs, etc.)• Assurer la sécurité des données - Évalua on du niveau de sécurité - Mesures techniques et organisa onnelles - Viola ons de données personnelles• Gérer les droits des personnes concernées - Transparence et informa on - Droit d’accès - Droit de rec fi ca on et eff acement (droit à l’oubli numérique) - Droit à la limita on du traitement - Droit à la portabilité - Droit d’opposi on• Veiller aux transferts de données en dehors de l’UE• Se préparer à un contrôle• Coopérer avec les autorités

Ou ls • Cer fi ca ons et labels• Codes de conduite• Check list• Veille• Références


26

Réf :

DPO


DPO (Data Protec on Offi cer)

La protec on des données personnelles est devenue un élément important de la sécurité de l'informa on. Le DPO est chargé d'assurer la conformité des traitements de données personnelles aux obliga ons "informa que et libertés". Il est donc aujourd'hui un atout essen el pour réduire les risques juridiques et d'image, à l'heure où les contrôles se mul plient et où les sanc ons sont de plus en plus sévères.


• Les normes juridiques, notamment le RGPD (GDPR)• Les jurisprudences• Les recommanda ons de la CNIL• Les éléments pra ques (statut et missions du DPO, sécurisa on des données personnelles, cons tu on du registre, rédac on du bilan annuel,…)

PUBLIC VISÉ

• CIL désignés depuis moins d'un an• Futurs DPO• Personnes souhaitant approfondir leurs connaissances "informa que et libertés" et acquérir une compétence opéra onnelle• Responsable informa que• Juriste

PRÉ REQUIS


Méthode pédagogique • Explica on des no ons juridiques en langage courant• Cours magistral totalement interac f• Nombreux exercices pra ques• Mise en situa on d'environ 2 heures• Forma on dispensée en français

MATÉRIEL

• Support de cours en français au format papier• Support d'exercices et correc ons au format papier

CERTIFICATION

Ce e forma on n'est pas cer fi ante.


PROGRAMME

• Droit de l'informa que et des libertés

• Consulter les règles applicables, suivre l’actualité et échanger

• Fondamentaux « informa que et libertés »

• CNIL

• Première approche du DPO

• Désigna on

• Exercice des missions

• Recenser les traitements

• Veiller à la licéité des traitements

• Préparer les formalités préalables

• Tenir le registre

• Veiller aux rela ons avec les ers

• Veiller à la sécurité des données personnelles

• Veiller aux condi ons de transfert hors Union européenne

• Conseiller, sensibiliser et vérifi er en interne

• Suivre un éventuel contrôle de la CNIL et ses conséquences

• Rédiger un bilan annuel

• Fin des fonc ons

DPO

2 au 4 mai 2018 •Paris 26 au 28 septembre 2018 •Paris

27



Réf :

Priv

acy

Privacy ImplementerExercer la fonc on de CIL / DPO

La protec on des données personnelles est devenue une préoccupa on majeure des citoyens. Avec l'entrée en applica on du Règlement général sur la protec on des données (RGPD) le 25 mai 2018, les organismes doivent se me re en conformité avec des règles nouvelles, souvent complexes et assor es de sanc ons renforcées. Ce e forma on cer fi ante a pour but de présenter ce nouveau cadre d'un point de vue opéra onnel, en donnant aux par cipants les clés pra ques et pragma ques pour réussir la mise en conformité et maintenir celle-ci dans la durée.


• Comment exercer effi cacement le mé er de DPO• Comment me re en oeuvre les obliga ons "informa que et libertés" de façon concrète et pragma que• Le droit des données personnelles, son interpréta on et son applica on en pra que• Se préparer à l'examen de cer fi ca on LSTI

PUBLIC VISÉ

• CIL ou DPO désignés, quelle que soit leur expérience• Futurs DPO• Personnes souhaitant se préparer à l'examen de cer fi ca on LSTI "correspondant informa que et libertés"

PRÉ REQUIS


Méthode pédagogique • Explica on des no ons juridiques en langage courant• Cours magistral totalement interac f• Nombreux exercices pra ques• Mise en situa on d'une demi-journée• Forma on dispensée en français

MATÉRIEL

• Support de cours en français au format papier• Support d'exercices et correc ons au format papier

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on LSTI "Privacy Implementer".

Durée : 5 jours* / 40 heures

PROGRAMME

• Cadre « informa que et des libertés »

• Consulter les règles applicables, suivre l’actualité et échanger

• No ons « informa que et libertés »

• Acteurs « informa que et libertés »

• Champs d’applica on

• Recenser les traitements

• Veiller au respect des principes fondamentaux

• Accomplir les formalités préalables

• Gérer les rela ons avec les ers

• Assurer la sécurité des données personnelles

• Sa sfaire aux condi ons de transfert en dehors de l’Union euro-

péenne

• Maîtriser les sous-traitants

• Renforcer et démontrer la conformité

• Etre préparé à un contrôle de la CNIL et à ses conséquences

• Se préparer au RGPD

• Examen de cer fi ca on (conçu, surveillé et corrigé par LSTI

Note : le niveau d’approfondissement des diff érents thèmes est plus élevé dans ce e forma on que dans la forma on « DPO » sur 3 jours. Les exercices sont également plus nombreux.

PRIVACY IMPLEMENTER

29 janvier au 2 février 2018 •Paris12 au 16 mars 2018 •Paris9 au 13 avril 2018 •Toulouse4 au 8 juin 2018 •Paris9 au 13 juillet 2018 •Rennes

3 au 7 septembre 2018 •Paris17 au 21 septembre 2018 • Luxembourg5 au 9 novembre 2018 •Aix26 au 30 novembre 2018 •Paris

* 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures répar es en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi.


28

Réf :

PIA


Réaliser un PIA(Étude d'impact sur la vie privée)

RÉALISER UN PIA4 au 5 avril 2018 • Paris 12 au 13 novembre 2018 • Paris

Exigence du RGPD (Règlement européen sur la protec on des données), l'étude d'impact sur la vie privée devra être menée pour tout projet d'envergure impliquant des données à caractère personnel en mai 2018.Ou l essen el de l'accountability et gage de confi ance pour les clients, le PIA sera au coeur de la protec on des données personnelles.Si de récentes normes s'y consacrent, mener un PIA peut se révéler fas dieux et se traduire par un processus non-opéra onnel.La forma on "Réaliser un PIA" propose une approche pragma que de l'étude d'impact sur la vie privée.Ainsi, après une présenta on du PIA dans le RGPD et des ou ls existants, les formateurs HSC proposerons l'une de leur méthode suivie d'un après-midi de mise en pra que.


• Déterminer si un PIA est requis• Construire une procédure et des ou ls d'étude d'impact sur la vie privée• Mener un PIA

PUBLIC VISÉ

• CIL• Relai informa que et libertés• Futurs DPO• RSSI• Directeur juridique• Responsable MOA...• Toute personne suscep ble de mener des études d'impact sur la vie privée

PRÉ REQUIS

• Connaître les principes fondamentaux de la protec on des données personnelles• Avoir suivi les forma ons "Privacy Implementer" ou "GDPR/RGPD" est un plus

Méthode pédagogique • Cours magistral avec échange interac fs• Forma on dispensée en français

MATÉRIEL

• Support de cours et annexes en français au format papier

CERTIFICATION



PROGRAMME

Introduc on• Cadre légal et réglementaire : de la loi "informa que et libertés" au RGPD• Les enjeux de la protec on des données et du PIA• Rappel des principes et des no ons fondamentales de la protec on des données personnelles

Exercice 1 : Quizz oral : Maîtriser le vocabulaire sur la protec on des données

Présenta on du PIA• Le PIA dans le Règlement• Les cas de PIA obligatoire - Le responsable du PIA - Ses objec fs - Les éléments exigés par le Règlement - La consulta on préalable et le registre des ac vités de traitement• Le vocabulaire de l'apprécia on des risques et de l'étude d'impact sur la vie privée• Le PIA dans les normes : - La méthode de la CNIL - La norme ISO 29134

Exercice 2 : Ques onnaire écrit : Manipuler le vocabulaire de l'analyse de risques et du PIA

Exercice 3 : Cas pra que simple : Dresser un PIA en suivant le Guide de la CNIL

PIA : la méthode • Étude d'opportunité du PIA• Contexte et périmètre• Critères et échelles d'apprécia on des risques• Prépara on du PIA• Étude de la conformité• Apprécia on des risques vie privée• Le contenu du rapport• Les suites du PIA

Exercice 4 : Mise en situa on : Réaliser un PIA et s'approprier les ou ls méthodologiques (1/2 journée)• Distribu on de documenta on rela ve à un projet fi c f impliquant la créa on d'un nouveau traitement ainsi que d'ou ls méthodologiques pour la réalisa on d'un PIA. En s'appuyant sur les documents fournis, les stagiaires devront réaliser le PIA pour le projet. La correc on sera réalisée de manière interac ve avec l'ensemble des stagiaires.

29



Réf :

Don

nées

de

sant

é

Protec on des données de santé et vie privée

La protec on des données personnelles est devenue un élément important de la sécurité de l'informa on. Le correspondant informa que et libertés (CIL) est chargé d'assurer la conformité des traitements de données personnelles aux obliga ons "informa que et libertés". Il est donc aujourd'hui un atout essen el pour réduire les risques juridiques et d'image, à l'heure où les contrôles se mul plient et où les sanc ons sont de plus en plus sévères.


• les exigences de sécurité en ma ère de : - protec on des données personnelles de santé (loi « informa que et libertés », Règlement européen général pour la protec on des données) - interopérabilité des systèmes d’informa on de santé (CI- SIS) - sécurité des systèmes d’informa on de santé (PGSSI-S, CPS, RGS, LPM) - hébergement des données de santé (agrément HDS)

PUBLIC VISÉ

• RSSI• Juristes• CIL/ DPO• Toute personne confrontée à la ges on d’un système d’informa on de santé

PRÉ REQUIS

• Avoir une culture générale en sécurité des systèmes d’informa on ou en droit est un plus

Méthode pédagogique • Cours magistral avec échanges interac fs

MATÉRIEL

• Support de cours en français au format papier

CERTIFICATION



PROGRAMME

Module 1 : Présenta on du contexte• Cadre légal et norma f• No ons fondamentales• Données de santé, dossier médical partagé, systèmes d’informa on, etc.• Principaux acteurs - Pa ent, Professionnel de santé et médico-social, établissements de santé, hébergeur, ASIP-santé, CNIL, etc.

Module 2 : Droits des pa ents et secret• Droits des pa ents - Confi den alité de leurs données de santé, informa on et accès aux données, droit de rec fi ca on et d’opposi on, etc.• Secret - Secret professionnel, secret médical, secret partagé

Module 3 : Ges on des données personnelles de santé• Licéité des traitements de données personnelles• Recueil des données de santé• Formalités préalables, PIA et registre des ac vités de traitement• Conserva on, suppression, anonymisa on et archivage des données

Module 4 : Sécurité du système d'informa on de santé• Obliga ons légales de sécurité de données et systèmes d’informa on de santé• Enjeux de la sécurité du SI-S : Confi den alité, Intégrité, Disponibilité, Traçabilité et imputabilité• PGSSI-S• Ges on des risques• Organisa on de la sécurité - Rôles et responsabilités - Poli que de sécurité - SMSI• Mesures de sécurité opéra onnelles - Ges on des accès, iden fi ca on, authen fi ca on - Classifi ca on et chiff rement - Architecture réseau et applica ve - Sécurité des échanges - Durcissement des systèmes - Objets connectés et accès distants - Cycle de vie et obsolescence des systèmes - Sauvegarde et archivage - Traçabilité et imputabilité• Ges on des incidents et no fi ca on aux autorités• Ges on de la con nuité d’ac vité

Module 5 : Interopérabilité du système d'informa on de santé• Obliga on légale d’interopérabilité• Présenta on du cadre d’interopérabilité des systèmes d’informa on de santé

Module 6 : Hébergement des données de santé• Exigences légales en ma ère d’hébergement• Agrément HDS (procédure d’agrément, dossier et contrat)• Médecin de l’hébergeur

PROTECTION DES DONNÉES DE SANTÉ ET VIE PRIVÉE

19 au 20 mars 2018 •Paris14 au 15 juin 2018 •Paris

4 au 5 octobre 2018 •Paris

Sécurité Organisa onnelle

30

Réf :

CIS

SP


Forma on CISSPCISSP (Cer fi ed Informa on Systems Security Professional) est la cer fi ca on professionnelle interna onale la plus connue dans le monde de la sécurité des systèmes d’informa on. Le programme de cer fi ca on géré par ISC² (Interna onal Informa on Systems Security Cer fi ca on Consor um) est répar en 10 thèmes qui couvrent tous les aspects de la sécurité des Systèmes d’informa on

OBJECTIF

• Réussir l'examen de cer fi ca on CISSP d'ISC²

PUBLIC VISÉ

• Toute personne souhaitant obtenir une cer fi ca on reconnue en sécurité • Consultants en sécurité devant démontrer leur exper se acquise et enrichir leur CV• Juristes

PRÉ REQUIS

• Avoir lu le livre CBK offi ciel de l’ISC2

Méthode pédagogique • Un consultant expert pour chaque thème du CBK• Des ques ons et des explica ons à chaque mauvaise réponse• Forma on dispensée en français

MATÉRIEL

• Support de cours en français au format papier.• Boî er électronique de réponse mis à disposi on de chaque stagiaire• Livre CBK offi ciel de l'ISC² envoyé sur demande uniquement à récep on des documents de confi rma on d'inscrip on • Un livre de révision de l'ISC2 pour l'ensemble des chapitres comprenant : - Des fi ches de révision et résumés des chapitres - Des ques ons d'entraînement - Un examen blanc - Un cer fi cat ISC² pour avoir suivi la forma on

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on CISSP de l'ISC². HSC est le partenaire offi ciel d'ISC² en France. HSC est le seul à pouvoir vendre l'examen CISSP. L'examen se déroule dans un centre Pearsonvue (www.pearsonvue.com).

Durée : 35 heures

FORMATION CISSP19 au 23 mars 2018 • Paris11 au 15 juin 2018 • Paris

19 au 23 novembre 2018 • Paris

Les 8 thèmes offi ciels du CBK (Common Body of Knowledge) :

• Security & Risk Management

• Asset Security

• Security Engineering

• Communica ons & Network Security

• Iden ty & Access Management

• Security Assessment & Tes ng

• Security Opera ons

• Security in the So ware Development Life Cycle

PROGRAMME

31



Réf :

CIS

A

Forma on CISA

FORMATION CISA4 au 8 juin 2018 • Paris 5 au 9 novembre 2018 • Paris

Le CISA (Cer fi ed Informa on Systems Auditor) est la cer fi ca on interna onale des auditeurs des systèmes d'informa on.Ce e cer fi ca on est régulièrement exigées auprès des auditeurs informa que et sécurité. Elle est éditée par l'associa on interna onale des auditeurs informa que ISACA ( h p://www.isaca.org/ ).

OBJECTIF

• Préparer à la réussite de l'examen CISA de l'ISACA.I

PUBLIC VISÉ

• Consultants en organisa on, consultants en systèmes d'informa on, consultants en sécurité, • Auditeurs • Informa ciens • Responsables informa que • Chefs de projets, urbanistes, managers

PRÉ REQUIS

• Connaissance générale de l'informa que, de ses modes d'organisa on et de son fonc onnement.• Connaissance des principes généraux des processus SI et des principes de base de la technologie des SI et des réseaux.

Méthode pédagogique • Cours magistraux par des consultants cer fi és CISA• Exercices pra ques par des ques ons à l'issue de chaque exposé• Examen blanc de 100 ques ons et explica ons à chaque mauvaise réponse• Forma on dispensée en français

MATÉRIEL

• Support de cours en français au format papier• Livre offi ciel de l'ISACA CRM "Cisa Review Manual" en anglais ou "Manuel de prépara on au CISA" en français envoyé sur demande uniquement à récep on des documents de confi rma on d'inscrip on

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on CISA de l'ISACA. Coupon d'examen disponible uniquement sur le site de l'ISACA


Le stage est organisé sur 4 journées de révision des 5 théma ques de la cer fi ca on CISA associées à des séries de ques ons illustra ves.

Les 5 domaines abordés (repris dans le CRM et le support de cours) :• Le processus d'audit des SI : méthodologie d'audit, normes, référen els, la réalisa on de l'audit, les techniques d'auto-évalua on.• La gouvernance et la ges on des SI : Pra que de stratégie et de gouvernance SI, poli ques et procédures, pra que de la ges on des SI, organisa on et comitologie, ges on de la con nuité des opéra ons.• L'acquisi on, la concep on et l'implanta on des SI : la ges on de projet, l'audit des études et du développement, les pra ques de maintenance, contrôle applica fs.• L'exploita on, l'entre en et le sou en des SI : l'audit de la fonc on informa on et des opéra ons, l'audit des infrastructures et des réseaux.• La protec on des ac fs informa onnels : audit de sécurité, ges on des accès, sécurité des réseaux, audit de management de la sécurité, sécurité physique, sécurité organisa onnelle.

Le stage se termine lors de la dernière journée par un exposé de pra ques pour passer et se préparer l'examen (QCM de 4 heures). Cet exposé est suivi d'un un examen blanc (2 heures) de 100 ques ons suivi d'une revue des réponses de stagiaires.

PROGRAMME


32

Réf :

RSS

I


Forma on RSSI

FORMATION RSSI26 au 30 mars 2018 • Paris25 au 29 juin 2018 • Paris

15 au 19 octobre 2018 • Paris

La forma on RSSI HSC apporte au nouveau RSSI ou au nouveau manager d'un RSSI un panorama complet des fonc ons du RSSI et des a entes des organisa ons sur le rôle du RSSI. Les connaissances indispensables à la prise de fonc on du RSSI et un retour d'expérience sur les chan ers et la démarche à me re en oeuvre dans le rôle sont détaillés par des consultants expérimentés et d'anciens RSSI.


• Les bases pour la mise en place d’une bonne gouvernance de la sécurité des systèmes d’informa on• Les connaissances techniques de base indispensables à la fonc on de RSSI• Pourquoi et comment me re en œuvre un SMSI en s’appuyant sur la norme ISO 27001• L’état du marché de la sécurité informa que• Les méthodes d’apprécia on des risques • Les enjeux de la SSI au sein des organisa ons• Les stratégies de prise de fonc on et des retours d’expérience de RSSI

PUBLIC VISÉ

• Nouveaux ou futurs RSSI souhaitant se reme re à niveau et échanger • RSSI expérimentés souhaitant se reme re à niveau et échanger sur les bonnes pra ques du mé er avec d’autres RSSI• Ingénieurs en sécurité des systèmes d’informa on souhaitant rapidement acquérir toutes les compétences l leur perme ant d’évoluer vers la fonc on de RSSI• Directeurs des Systèmes d’Informa on ou auditeurs en systèmes d’informa on souhaitant connaître les contours de la fonc on et les rôles du RSSI

PRÉ REQUIS

• Expérience au sein d’une direc on informa que en tant qu’informa cien ou bonne culture générale des systèmes d’informa on• No ons de base en sécurité appliquées au système d’informa on cons tue un plus

Méthode pédagogique • Cours magistral dispensé par Hervé Schauer et les diff érents responsables de domaine chez HSC : organisa onnel, technique, commercial et juridique, • Après- midi du vendredi animé par un RSSI en ac vité présentant sa stratégie de prise de fonc on et un retour d’expérience sur des cas concrets et détaillés de projets sécurité menés dans son organisa on• Forma on dispensée en français

MATÉRIEL


CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on RSSI Deloi e.


Introduc on • Accueil • Présenta on de la fonc on de RSSI

en la me ant en perspec ve par rapport à tous les aspects de son environnement

• Produc on, direc on, mé ers, conformité, juridique, etc.

Aspects organisa onnelsde la sécurité • Panorama des référen els du marché • Poli ques de sécurité • Rédac on • Poli ques globales, sectorielles,

géographiques • Conformité • Gouvernance de la sécurité • Indicateurs sécurité • Ges on des incidents

Aspects techniques de la sécurité • Sécurité du système d'exploita on • Sécurité des applica ons (sessions,

injec ons SQL, XSS) • Sécurité réseau (routeurs, fi rewalls) • Sécurité du poste de travail

Système de Management de la Sécurité de l'Informa on (norme ISO 27001) • Bases sur les SMSI • Panorama des normes de type ISO

27000 • Bases sur ISO 27001 et ISO 27002

Prépara on à l'audit • Forma on et communica on • Audit à blanc • Documents à préparer • Considéra ons pra ques • Récep on des auditeurs

(SoX, Cour des Comptes, Commission bancaire, etc.)

Ges on de risques • Méthodologies d'apprécia on

des risques - EBIOS - MEHARI - ISO 27005 • Analyse de risque • Evalua on du risque • Traitement des risques • Accepta on du risque

Aspects juridiques de la SSI• Informa que et libertés • Communica ons électroniques• Conserva on des traces• Contrôle des salariés• A eintes aux STAD• Charte informa que• Administrateurs

Acteurs du marché de la sécurité • Ges on des rela ons avec

les partenaires • Infogérance • Prestataires en sécurité

Stratégies de prise de fonc on de RSSI • Rôles du RSSI • Rela ons avec les mé ers, la DSI, la

DG, les opéra onnels • Retour d'expérience • Témoignage d'un RSSI

(selon les opportunités) • Ques ons / Réponses avec

les stagiaires

PROGRAMME

Plan de forma on validé en collabora on avec Plan de forma on validé en collabora on avec l'ANSSIl'ANSSI

33



Réf :

PCI

DSS

PCI DSS : Comprendre, me re en oeuvre et auditer

PCI DSS :COMPRENDRE, METTRE EN OEUVRE ET AUDITER8 novembre 2018 • Paris

Devant l'augmenta on de la fréquence et de la sophis ca on des a aques visant les données de cartes bancaires, notamment les PAN (Primary Account Number), les principales marques de cartes bancaires ont fondé le PCI SSC. L'un des buts de cet organisme américain consiste à maintenir le standard PCI DSS, décrivant les mesures à me re en oeuvre par tout acteur impliqué dans la transmission, le traitement ou le stockage de données de cartes bancaires. Tandis que les marques de cartes défi nissent leurs programmes de conformité, le standard PCI DSS défi ni ainsi le niveau de sécurité de base à a eindre. Toutefois, avant d'entreprendre une mise en conformité aux exigences de PCI DSS, le périmètre et les exigences applicables doivent être déterminés, ce qui requiert une parfaite maîtrise du standard et une connaissance des méthodes d'évalua on appliquées par les auditeurs (QSA, pour Qualifi ed Security Assessor).


• Présenter les diff érents acteurs de PCI DSS• Présenter le standard PCI DSS et ses 12 clauses • Savoir prendre en compte les vulnérabilités et les menaces inhérentes aux données carte bancaire• Iden fi er les points clés d’un projet PCI (sélec on d’un périmètre, standard)• Maîtriser les problèmes intrinsèques aux données portées par les cartes bancaires, induits par la nécessité d'échanger des informa ons pour réaliser une transac on en toute confi ance• Iden fi er et comprendre le rôle de chacun des acteurs impliqués dans les implémenta ons et évalua ons PCI DSS• Maîtriser les diff érents types d'évalua on de la conformité à PCI DSS qui existent (Report on Compliance, Self-Assessment• Ques onnaire, etc.) et choisir l'évalua on la plus appropriée à un contexte• Déterminer fi nement le champ d'applica on de PCI DSS et à éviter les pièges les plus fréquents relevés lors d'évalua ons réelles de conformité à PCI DSS• Assimiler les exigences du standard PCI DSS dans sa dernière version, ainsi que les no ons qui lui sont spécifi ques (fournisseurs d'hébergement partagé, en tés désignées, mesures compensatoires, etc.)

PUBLIC VISÉ

• DSI, RSSI• Auditeurs, bien que ce e forma on ne donne pas lieu à la qualifi ca on QSA, qui ne peut être délivrée que par le PCI SSC • Chefs de projet informa que• Consultant souhaitant étendre leur domaine de compétences

PRÉ REQUIS

• Ce e forma on ne nécessite pas de pré-requis

Méthode pédagogique • Cours magistral dispensé par au moins un QSA ayant réalisé des évalua ons et accompagnement PCI DSS.

MATÉRIEL

• Support de cours en français et annexes associées au format papier.

CERTIFICATION


Durée : 1 jour / 7 heures

PROGRAMMEAccueil des par cipants

Introduc on • Présenta on des termes essen els• Problèmes intrinsèques aux cartes bancaires• Constats des vulnérabilités et fraudes les plus courantes• Structure d'une carte de paiement et données protégées par PCI DSS

Acteurs de la chaîne moné que • Marques de carte • PCI SSC • Acteurs et ac vités de la chaîne moné que • Acteurs du programme de conformité PCI DSS

Le standard PCI DSS, son cycle de vie et ses spécifi cités

Evalua on de la conformité à PCI DSS • Esprit et principes des évalua ons• Livrables normalisés par le PCI SSC • Programmes de conformité des marques de carte • Déroulement d'une évalua on

Détermina on du périmètre • Condi ons d'applica on de PCI DSS • Proposi on d'approche pour l'iden fi ca on du périmètre • Pièges à éviter pour les implémenteurs

Exigencces de PCI DSS • Vue d'ensemble par théma que • Parcours des exigences par règle • Annexes


34

Réf

: H

omol

oga

on

SSI


Homologa on SSI : RGS, IGI1300, LPM, PSSIE

HOMOLOGATION SSI : RGS, IGI1300, LPM, PSSIE12 avril 2018 • Paris 5 novembre 2018 • Paris

La démarche d'homologa on de sécurité des systèmes d'informa ons s'est imposée dans de mul ples référen els gouvernementaux. Ce e approche permet d'expliciter les besoins de sécurité d'un système, d'en évaluer la protec on eff ec ve et de faire accepter les risques résiduels par une autorité adaptée.C'est autour de ce cœur méthodologique, que les diff érents référen els (RGS, II901, IGI1300, LPM, PSSIE ) développent leurs spécifi cités.


• vous familiariser avec les diff érents référen els gouvernementaux de sécurité de l'informa on et leur limites• être capable de me re en œuvre une démarche d'homologa on de sécurité• avoir les clés pour approfondir les diff érents cadres réglementaires• aborder la mise en place d'une organisa on de ges on de la sécurité dans la durée.

PUBLIC VISÉ

• Toute personne ayant la nécessité de connaître, comprendre et me re en œuvre une démarche d'homologa on de sécurité sur tout ou par e de son système d'informa on. Les personnes en charge de la mise en conformité de leur SI selon les référen els suivants: PSSIE, IGI1300, II 901, RGS, LPM, etc.; seront donc par culièrement intéressés par ce e forma on.Ceux-ci peuvent se trouver au sein: - des autorités administra ves - des fournisseurs de services à une autorité administra ve - des prestataires d'hébergement - des consultants accompagnant à la conformité - des opérateurs d'importance vitale - des entreprises amenées à traiter, manipuler des informa ons sensibles.…

PRÉ REQUIS

• Ce e forma on ne nécessite pas de pré-requis

Méthode pédagogique • Cours magistral et interac on avec les par cipants.

MATÉRIEL


CERTIFICATION



PROGRAMME

Panorama des référen els SSI éta ques• Principes de cer fi ca on/qualifi ca on• Objec fs de l'homologa on• Démarche d'homologa on - Analyse de risque - Mise en oeuvre des mesures de sécurité - Plan de traitement des risques - Conformité IGI1300 PSSIE LPM II901 Cryptographie RGS - Audits d'homologa on - Acte d'homologa on - dossier d'homologa on - comité et autorité d'homologa on• Revue et main en dans la durée• Stratégies de mise en œuvre - Pour nouveau système - Pour système existant



Fondamentauxde la SSI


Réf :

PKI

35

Principes et mise en œuvre des PKI

PRINCIPES ET MISE EN ŒUVRE DES PKI2 au 4 mai 2018 • Paris

Si les PKI sont actuellement mises à l’honneur, la réalité de leurs déploiements demeure toutefois plus mi gée. Ce e forma on fournit une approche pragma que des possibilités off ertes au travers de la technologie des PKI et indique une démarche réaliste pour réussir et op miser leur mise en œuvre.


• Les technologies et les normes (cryptographie gros grains)• Les diff érentes architectures • Les probléma ques d’intégra on (organisa on d’une PKI, formats de cer fi cats, points d’achoppement)• Les aspects organisa onnels et cer fi ca ons• Les aspects juridiques (signature électronique, clés de recouvrement, u lisa on, export / usage interna onal)

PUBLIC VISÉ

• Architectes• Chefs de projets• Responsables sécurité/RSSI avec une orienta on technique• Développeurs seniors• Administrateurs système et réseau senior

PRÉ REQUIS

• Forma on universitaire de base ou Ingénieur en informa que • L'u lisa on de la ligne de commande, no on d’API bases de réseau IP est un plus

Méthode pédagogique • Cours magistral avec échanges interac fs • Travaux pra ques

MATÉRIEL

• Support de cours en français au format papier.• Ordinateurs portables et tokens cryptographiques mis à disposi on par HSC pour les exercices

CERTIFICATION



Journée 1 : Mise en contexte1.1 Bases de cryptographie:1.1.1 No ons de dimensionnement et vocabulaire de base1.1.2 Mécanismes,1.1.3 Combinaisons de mécanismes,1.1.4 Problèmes de ges on de clés1.1.5 Sources de recommanda on: ANSSI, ENISA, EuroCrypt, NIST

1.2 Implémenta on de la cryptographie:1.2.1 Bibliothèques logicielles,1.2.2 Formats courants1.2.3 Usages courants et ges on associée1.2.4 Chiff rement de fi chiers et disques1.2.5 Chiff rement de messagerie1.2.6 Authen fi ca on1.2.7 Chiff rement de disque et fi chiers1.2.8 Chiff rement des fl ux1.3 Grands axes d'a aques et défenses

Journée 2 : PKI et organisa on2.1 Matériel cryptographique2.1.1 Diff érents types d'implémenta on matérielles2.1.2 Cer fi ca on Critères Communs2.1.3 Cer fi ca on FIPS 140-2

2.2. Structure de PKI2.2.1 Cer fi cats X5092.2.2 Rôles : sujet, vérifi cateur, cer fi cateur, enregistrement, révoca on2.2.3 Architectures organisa onnelles courantes2.2.4 Cinéma ques dans PKIX2.2.5 Hiérarchies d'autorités2.2.6 Vérifi ca on récursive d'une signature2.3 Cadre légal et réglementaire2.3.1 Droit de la cryptologie2.3.2 Droit de la signature électronique2.3.3 Référen el général de sécurité2.3.4 Réglement eIDAS2.4 Cer fi ca on d'autorité2.4.1 ETSI TS-102-042 et TS-101-456, cer fi ca on RGS2.4.2 Exigences pour les inclusions dans les navigateurs et logiciels courants2.4.3 Evolu on des pra ques

Journée 3: Implémenta on de PKI et perspec ves 3.1 Mise en oeuvre de PKI3.1.1 Diff érents types d'implémenta on d'IGC rencontrées couramment3.1.2 Types d'acteurs du marché3.1.3 Points d'a en on à l'intégra on3.1.4 A aques sur les PKI3.1.5 Problème des IGC SSL/TLS3.1.6 Remédia ons mise en œuvre pour TLS

3.2 IGC non X509: exemples de ges on de clés alterna ves3.2.1 GPG3.2.2 SSH3.2.3 R/PKI

3.3 Prospec ve3.3.1 Evolu on de la cryptographie: les évolu ons réelles, et phénomènes média ques3.3.2 Distribu on de clés par canal quan que (QKD)3.3.3 Cryptographie Homomorphique3.3.4 Cryptographie-post quan que3.3.5 Ges on des clés symétriques3.3.6 Tendances et conclusion

PROGRAMME



36

Réf :

PKI

WIN


PKI Windows

PKI WINDOWS1er au 3 octobre 2018 • Paris

Des bases de la cryptographie aux bonnes pra ques organisa onnelles, ce e forma on donne toute les clés nécessaires à la ges on opéra onnelle d'une IGC (PKI) dans un contexte Windows. A travers des cas concrets, les stagiaires apprendront à maîtriser les concepts de base ainsi que le développement de scripts PowerShell afi n d'automa ser et de faciliter la ges on de l'IGC (PKI). Une épreuve fi nale regroupant plusieurs cas réels perme ra aux stagiaires d'évaluer leur niveau en fi n de forma on.


• Être capable de comprendre les besoins mé er concernant les cer fi cats• Acquérir les connaissances et compétences nécessaire afi n de fournir un support haut-niveau aux mé ers• Être en mesure de résoudre des probléma ques cryptographiques• Être en mesure de créer des scripts afi n d'améliorer l'IGC

PUBLIC VISÉ

• Tout public (Expert sécurité, Administrateur, Manager PKI, ...)

PRÉ REQUIS

• Avant la forma on, les stagiaires devront posséder un compte Live afi n d'ac ver une licence temporaire Windows server. La connaissance de powershell n'est pas obligatoire

Méthode pédagogique • Cours magistral avec échanges interac fs • Travaux pra ques

MATÉRIEL

• Support de cours en français au format papier.• Ordinateurs portables et tokens cryptographiques mis à disposi on par HSC pour les exercices

CERTIFICATION



Jour 1 - Cryptographie et PKI

• Rappel sur les principes cryptographiques fondamentaux • Rappel des algorithmes cryptographiques et taille de clé conseillés• Architecture organisa onnelle et technique d'une IGC (PKI)• Principe de créa on, vérifi ca on et révoca on de cer fi cat• Créa on d'une autorité racine indépendante

Jour 2 - PKI Windows

• Rappel de l'environnement Windows• Spécifi cité de l'IGC (PKI) Windows• Créa on d'une autorité fi lle liée à l'AD• Rappel des bases Powershell • Créa on de scripts simples en Powershell

Jour 3 - PKI avancée

• Cas d'étude d'une architecture IGC • Créa on de scripts Powershell avancés • Méthodologie de résolu on de problème (debugging) • Exercice fi nal : les stagiaires doivent résoudre 6 problèmes u lisateurs dont la diffi culté va de moyen à expert

Note : En intra-entreprise, ce e forma on est aussi disponible en anglais.

PROGRAMME


37

Réf :

Clo

ud


Sécurité du cloud compu ng

SÉCURITÉ DU CLOUD COMPUTING21 au 23 mars 2018 • Paris 10 au 12 septembre 2018 • Paris

Le recours au cloud compu ng se développe aujourd'hui à un rythme de plus en plus important, sans que les organismes ne prennent nécessairement la mesure des risques induits par ce e évolu on de leur ges on des données. Que ce soit avant de décider de passer dans le cloud, au cours de la presta on ou à la fi n de celle-ci, de nombreuses ques ons liées à la sécurité se posent. Il importe donc que les personnes impliquées dans un projet de cloud compu ng connaissent à la fois les risques associés et les bonnes pra ques perme ant de réduire ces derniers.


• Les risques techniques, organisa onnels et juridiques associés au cloud compu ng• Comment évaluer et réduire ces risques dans votre contexte

PUBLIC VISÉ

Toutes les personnes impliquées ou ayant voca on à être impliquées dans un projet de cloud compu ng :• Direc on générale• DSI• RSSI• Administrateurs systèmes et réseaux• Chefs de projet• Responsables de service opéra onnel• Consultants

PRÉ REQUIS

• Aucun. Il n'est pas nécessaire de disposer de connaissances en cloud compu ng ou en sécurité informa que pour suivre ce e forma on.


MATÉRIEL


CERTIFICATION



Introduc on au cloud compu ng• Origines et développement• Défi ni on et spécifi cité• Types de déploiements (SaaS, PaaS, IaaS ; public, privé, hybride ; etc.)• Organismes spécialisés et sources d’informa on

No ons fondamentales en sécurité de l'informa on

Enjeux de la sécurité du cloud compu ng (avantages et risques techniques, organisa onnels et juridiques) • Confi den alité des données• Intégrité des données• Disponibilité des données• Réversibilité des données• Maîtrisabilité des données

Evaluer l’opportunité de passer ou non dans le cloud• Ques ons à se poser• Importance des aspects liés à la sécurité dans la décision• Eléments de décision en fonc on du service (courrier électronique, fi chiers, CRM, etc.) et du contexte (PME/grand groupe, sensibilité des données, etc.)

Eléments de décision pour choisir un type de déploiement

Eléments de décision pour choisir un prestataire de cloud compu ng• Méthodologies d’apprécia on des risques• Aspects techniques (technologies u lisées, antécédents de sécurité, etc.)• Sécurité organisa onnelle (référen els et normes, cer fi ca ons de sécurité, etc.)• Juridiques (droit applicable, localisa on des données, possibilités d’accès par l’Etat, engagements contractuels, etc.)

Contractualiser avec le prestataire de cloud compu ng• No ons juridiques sur les contrats• Clauses essen elles à contrôler• Eléments de négocia on d’un contrat

Principes de mise en œuvre d’un cloud privé sécurisé

Suivre l’aspect sécurité au cours de la presta on de cloud compu ng • Sources d’informa on générales sur le prestataire et le contexte juridique et technique• Indicateurs spécifi ques au rendu de la presta on• Réac on aux incidents (technique et juridique)

Assurer la sécurité en fi n de presta on de cloud compu ng• Mo fs de terminaison de la presta on• Transfert des données vers un autre prestataire• Récupéra on des données• Eff acement des données chez le prestataire

Prospec ve : les évolu ons a endues concernant la sécurité du cloud compu ng

PROGRAMME


38

Pré

sent

a o

n de

s fo

rma

ons

ISO

270

0x


Présenta on des forma ons ISO 2700x

Vous souhaitez Vous devez suivre

Avoir une introduction au SMSI

Acquérir les fondamentaux de la norme ISO 27001

Comprendre les mesures de sécurité et apprendre

à les gérer (élaborer, améliorer et créer des enregistrements

et des indicateurs)

Fondamentaux des normes

ISO 27001 & ISO 27002

Apprendre à réaliser une gestion des risques avec la

méthode ISO 27005

Maîtriser l’appréciation et le traitement des risques

Construire des indicateurs et tableaux de bord en SSI Indicateurs et tableaux de bord

de la SSI / ISO 27004

Auditer un SMSI

Devenir auditeur interne ou auditeur de certification pour les SMSI

ISO 27001 Lead Auditor

ISO 27001 Lead Implementer

ISO 27005 Risk Manager

Apprendre à organiser la gestion des incidents de sécuritéGestion des incidents de sécurité

/ ISO 27035

Implémenter un SMSI

Devenir responsable de mise en œuvre d’un SMSI


39

Réf :

Fon

dam

enta

ux IS

O 2

7001

& IS

O 2

7002


Fondamentaux ISO 27001 & ISO 27002

FONDAMENTAUX ISO 27001 & ISO 2700211 au 12 juin 2018 • Paris 3 au 4 décembre 2018 • Paris

La norme ISO 27001 est devenue la référence interna onale en termes de système de management de la sécurité de l'informa on (SMSI). Les projets de mise en conformité se mul pliant, une connaissance des éléments fondamentaux pour la mise en œuvre et la ges on d'un SMSI est nécessaire. Par ailleurs, la norme ISO 27001 décrit une approche pragma que de la ges on de la sécurité de l'informa on avec le choix de mesures de sécurité découlant d'une apprécia on des risques. Elle s'appuie sur le guide ISO 27002 pour fournir des recommanda ons sur le choix et l'implémenta on des mesures de sécurité.


• Présenter la norme ISO 27001:2013, les processus de sécurité qui lui sont associés et la démarche de cer fi ca on ;• présenter la norme ISO 27002:2013 et les mesures de sécurité ;• comprendre les contextes d'implémenta on des mesures de sécurité et leur intégra on dans l'organisa on générale de la sécurité ;• S'exercer à la sélec on et l'approfondissement de mesures de sécurité depuis l'apprécia on des risques, les pièges à éviter et l’audit de ces mesures ;• Avoir une vue globale des référen els existants, des guides d'implémenta on ou de bonnes pra ques des mesures de sécurité.

PUBLIC VISÉ

La forma on s'adresse à tous ceux qui souhaitent :• prendre connaissance des normes ISO 27001 et 27002• améliorer leur maîtrise des mesures de sécurité de l'informa on • enrichir leur connaissance des référen els existants pour faciliter l leur mise en œuvre.• Elle s'adresse à la fois aux opéra onnels (techniques ou mé ers), aux auditeurs souhaitant améliorer leur compréhension des mesures propres à la SSI.• Ce e forma on s'adresse également aux RSSI souhaitant avoir un panorama des mesures, organiser leur plan d'ac on, ou dynamiser les échanges avec les opéra onnels.

PRÉ REQUIS

• Ce e forma on requiert d'avoir une culture dans le domaine de la sécurité de l'informa on.

Méthode pédagogique • Cours magistral basé sur les normes• Exercices pra ques individuels et collec fs basés sur une étude de cas

MATÉRIEL


CERTIFICATION

A l'issue de ce e forma on, le stagiaire a la possibilité de passer un examen ayant pour but de valider les connaissances acquises. Cet examen de type QCM dure 1h00 à 1h30 et a lieu durant la dernière après-midi de forma on. La réussite à l'examen donne droit à la cer fi ca on RSSI HSC by Deloi e.


1- Introduc on aux systèmes de management

2- Historique des normes

3- L'organisa on de la sécurité

4- Présenta on détaillée de la norme ISO 27001

5- L'origine des mesures• La conformité• La ges on des risques• Les ACP ou ini a ves internes

6- Introduc on à la ges on des mesures de sécurité• Les diff érents acteurs• Iden fi ca on des contraintes• Typologies de mesures de sécurité• Plan d'ac on sécurité• Documenta on• Audit des mesures

7- La norme ISO 27002• Présenta on et historique• Structure et objec fs• Exemple d'applica on du modèle PDCA aux mesures• Cas pra que posi onnant le stagiaire dans le rôle de - Ges onnaire des risques - Implémenteur de mesures de sécurité - Auditeur

8- Les référen els de mesures de sécurité• Les référen els sectoriels (HDS, ARJEL, PCI-DSS, SAS-70/ISAE3402/ SOC 1-2-3, RGS)• Les autres sources de référen els et guides de bonnes pra ques - Organismes éta ques (Guide d'hygiène de l'ANSSI, NIST, NSA, etc.) - Les associa ons & ins tuts (SANS, OWASP, CIS, Clusif, etc.) - Les éditeurs

9- Exercices

10- Examen

PROGRAMME


40

Réf :

ISO

270

04


Indicateurs et tableaux de bord SSI/ ISO 27004

INDICATEURS ET TABLEAUX DE BORD SSI / ISO 2700413 juin 2018 • Paris 5 décembre 2018 • Paris

Les indicateurs et tableaux de bord perme ent au Les indicateurs et tableaux de bord perme ent au responsable sécurité de piloter son ac vité et de responsable sécurité de piloter son ac vité et de communiquer avec sa direc on et les équipes communiquer avec sa direc on et les équipes opéra onnelles. Dans une organisa on de la SSI opéra onnelles. Dans une organisa on de la SSI conforme à l'ISO 27001, les indicateurs sont un des conforme à l'ISO 27001, les indicateurs sont un des mécanismes de surveillance imposés, qui obligent à mécanismes de surveillance imposés, qui obligent à an ciper les résultats escomptés et les ac ons à an ciper les résultats escomptés et les ac ons à entreprendre.entreprendre.


• Défi nir ce qu’est un indicateur• Réaliser un indicateur exploitable• Tirer des leçons de l’indicateur pour surveiller et améliorer le SMSI

PUBLIC VISÉ

• RSSI• Consultants• Ingénieurs sécurité

PRÉ REQUIS

• Connaître la norme ISO 27001

Méthode pédagogique • Cours magistral MATERIEL• Exercices pra ques

MATÉRIEL


CERTIFICATION



PROGRAMME

Introduc on

Indicateurs et tableaux de bord en SSI

• Besoins du RSSI - Conformité - Sécurité - Communica on• Selon la li érature - CLUSIF - ANSSI - HSC• Propriétés des indicateurs• Démarche• Risques sur les indicateurs• Erreurs à éviter• Ques ons pra ques• Exemples de présenta on• Tableaux de Bord• Exemples sur des mesures de sécurité

Norme ISO 27004• Contexte, Vocabulaire, Structure• Modèle de mesurage• Responsabilité de la direc on• Développement, Exploita on, Analyse, Evalua on• Spécifi ca ons• Exemples

Ressources

Exercices sur des cas pra ques


41

Réf :

ISO

270

35


Ges on des incidents de sécurité / Norme ISO 27035

GESTION DES INCIDENTS DE SÉCURITÉ / ISO 2703514 juin 2018 • Paris 6 décembre 2018 • Paris

La ges on des incidents de sécurité dans un délai court et leur prise en compte dans la ges on des risques est imposée par la norme ISO 27001. Le processus de ges on des incidents de sécurité est fondamental au succès d’une bonne organisa on de la sécurité des systèmes d’informa on. Le guide de la norme ISO 27035 explicite en détail comment organiser ce processus.


• Me re en œuvre et organiser le processus de ges on des incidents de sécurité au sein d’un SMSI • Comment me re en place une équipe de réponse aux incidents de sécurité (Informa on Security Incident Reponse Team : ISIRT)• Gérer et comprendre les interac ons du processus de ges on des incidents de sécurité avec les autres processus de son organisa on

PUBLIC VISÉ

• DSI• Responsables de la mise en place d’un SMSI• Responsables sécurité• Personnes chargées de gérer les incidents de sécurité

PRÉ REQUIS

• Ce e forma on ne demande pas de pré-requis


MATERIEL


CERTIFICATION



PROGRAMME

Introduc on • Contexte• Enjeux et ISO 27001• Vocabulaire

Norme ISO 27035 • Concepts• Objec fs• Bienfaits de l'approche structurée• Phases de la ges on d'incident

Planifi ca on et prépara fs (Planning and prepara on) • Principales ac vités d'une équipe de réponse aux incidents de sécurité (ISIRT)• Poli que de ges on des incidents de sécurité• Interac ons avec d'autres référen els ou d'autres poli ques• Modélisa on du système de ges on des incidents de sécurité• Procédures• Mise en oeuvre de son ISIRT• Support technique et opéra onnel• Forma on et sensibilisa on• Test de sons système de ges on des incidents de sécurité

Détec on et rapport d'ac vité (Detec- on and repor ng)

• Ac vités de l'équipe opéra onnelle de détec on des incidents de sécurité de l'informa on • Détec on d'événements• Rapport d'ac vité sur les événements

Apprécia on et prise de décision (Assessment and decision) • Ac vités de l'équipe opéra onnelle d'analyse des incidents de sécurité• Analyse immédiate et décision ini ale• Apprécia on et confi rma on de l'incident

Réponses (Responses) • Principales ac vités d'une équipe

opéra onnelle de réponse aux incidents de sécurité• Réponse immédiate• Réponse à posteriori• Situa on de crise• Analyse Inforensique• Communica on• Escalade• Journalisa on de l'ac vité et change-ment

Mise à profi t de l'expérience ('Lessons Learnt') • Principales ac vités d'améliora on de l'ISIRT• Analyse Inforensique approfondie• Retours d'expérience• Iden fi ca on et améliora on - de mesures de sécurité - de la ges on des risques - de la revue de direc on - du système de ges on des incidents

Mise en pra que • Documenta on• Exemple d'incidents de sécurité de l'informa on - Déni de service (DoS) et déni de service répar (DDoS) - Accès non autorisé - Code malfaisant - Usage inapproprié - Collecte d'informa ons• Catégories d'incidents de sécurité• Méthodes de classement ou de typo-logie d'incidents de sécurité - CVSS - ISO27035• Enregistrement des événements de sécurité• Fiche de déclara on des événements de sécurité

Aspects légaux et réglementaires de la ges on d'incidents


42

Réf :

Cris

e IT

/ S

SI


Ges on de crise IT / SSILes méthodes proac ves demeurent limitées et tout un chacun est confronté un jour à une crise due à des incidents informa ques ou un problème de sécurité. Il faut donc maîtriser ce e réac on d'urgence et s'y préparer.

VOUS ALLEZ APPRENDRE • Apprendre à me re en place une organisa on adaptée pour répondre effi cacement aux situa ons de crise• Apprendre à élaborer une communica on cohérente en période de crise• Apprendre à éviter les pièges induits par les situa ons de crise• Tester votre ges on de crise SSI.

PUBLIC VISÉ• Directeur ou responsable des systèmes d'informa on• Responsable de la sécurité des systèmes d'informa on• Responsable de la ges on de crise• Responsable des astreintes• Responsable de la ges on des incidents

PRÉ REQUIS• Ce e forma on ne nécessite pas de pré-requis

Méthode pédagogique • Cours magistral avec des exemples basés sur le retour d'expérience d'HSC

MATÉRIEL


CERTIFICATION



GESTION DE CRISE IT / SSI15 juin 2018 • Paris 7 décembre 2018 • Paris

Enjeux et Objec fs de la ges on de crise• Vocabulaire• Qu'est-ce que la ges on de crise SSI?

Rappel des fondamentaux sur la ges on des incidents de sécurité basée sur l'ISO 27035

Analogies avec les autres processus• la ges on des incidents de sécurité• la con nuité d'ac vité• la ges on de crise stratégique

Analyse Forensique

L'organisa on de ges on de crise SSI• Acteurs et instances de la crise• Rôles et responsabilités• Prépara on de la logis que• Documenta on & Canevas• Ou ls de communica on

Processus de ges on de crise SSI• Détec on et Alerte• Évalua on et Décision• Ac va on• Réagir• Pilotage de la crise• Retour à la normale• Tirer les enseignements Le facteur humain et les eff ets du stress

Tests et exercices de crise SSI• enjeux et objec fs• types d'exercices et tests• scénarios de crise• prépara on d'un exercice de crise SSI• les ou ls et moyens

Cas pra ques de ges on de crise SSI

PROGRAMME


43

Réf :

270

01 L

A



Accueil des par cipants • Présenta on générale du cours • Introduc on aux systèmes de management

Présenta on de la norme ISO 27001 • No on de SMSI (Système de Management de la Sécurité de l'Informa on) • Modèle PDCA (Plan-Do-Check-Act) • ISO 27002• Lien entre l’ISO 27001 et l’ISO 27002

Panorama des normes complémentairesLa norme ISO 27001• Chapitre par chapitre : - Contexte de l’organisa on - Leadership - Planifi ca on - Support - Fonc onnement - Évalua on des performances - Améliora on

• Rela ons entre les éléments structurants du SMSI• Principaux processus du SMSI : - Ges on des mesures de sécurité - Ges on de la conformité - Ges on des risques de l’informa on - Ges on des incidents de sécurité - Pilotage

Processus de cer fi ca on ISO 27001

Présenta on de la norme ISO 27002• Objec fs et usage de la norme• Exigences de l’ISO 27001• Auditer une mesure de sécurité• Présenta on des mesures de sécurité• Exemple d’audit de mesures de sécurité

Présenta on de la démarche d’audit ISO 19011• Norme ISO 19011• Principes de l’audit• Types d’audit• Programme d’audit• Démarche d’audit (Avant l’audit - Audit d’étape 1 - Audit d’étape 2 - Après l’audit)• Auditeur• Responsable d’équipe d’audit

Présenta on de la démarche d’audit SMSI• Normes ISO 17021 et 27006• Audit de cer fi ca on• Critères d’audit• Déroulement d’un audit• Constats d’audit et fi ches d’écart• Réunion de clôture• Rapport d’audit

Techniques de conduite d’entre en

Prépara on à l'examen

Examen conçu, surveillé et corrigé par LSTI

Les ac vités d'évalua on de la performance comprennent des tâches d’audit perme ant de détecter tout dysfonc onnement poten el, qui apparaîtrait dans tout Système d’Informa on ou SMSI. Savoir réaliser des audits de façon méthodique et structurée, tout en maîtrisant les normes de l’ISO est devenu pour tout consultant une étape nécessaire prouvant son savoir faire auprès de ses clients et de ses employeurs. La forma on cer fi ante, ISO 27001 Lead Auditor, dispensée par HSC permet de répondre à tous ces besoins en ma ère d’audits internes ou d’audit de cer fi ca on.

VOUS ALLEZ APPRENDRE À • Disposer de la vision auditeur vis-à-vis de la norme ISO 27001• Intégrer le modèle PDCA lors de vos ac vités d’audit• Auditer Les diff érentes catégories de mesures de sécurité (Annexe A de l’ISO 27001 / ISO 27002)• Conduire un audit de SMSI et ses entre ens (ISO 19011 / ISO 27001 / ISO 27006)

PUBLIC VISÉ• Membres des équipes de contrôle interne• Équipes de sécurité• Auditeurs externes• Quali ciens• Responsables d’audit de SMSI• RSSI• Consultants en Sécurité des Systèmes d’Informa on

PRÉ REQUIS• Il est recommandé d’avoir lu les normes ISO 27001 et ISO 19011 • Forma on de second cycle ou avoir une expérience professionnelle de 5 ans minimum dans le domaine des systèmes de management de la sécurité ou de la qualité

Méthode pédagogique • Cours magistral basé sur les normes ISO 19011, ISO 27001, ISO 27002• Exercices pra ques individuels et collec fs s’appuyant sur une étude de cas• Exercices individuels de révision• Jeu de rôle auditeur/audité• Forma on nécessitant 1 heure de travail à la maison et ce quo diennement

MATÉRIEL

• Support de cours en français au format papier• Annexes associées en français et /ou en anglais

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on LSTI à la norme 27001:2013 (ISO 27001 Lead Auditor).


* 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures répar es en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi. Ce e durée de 40 heures est nécessaire pour être conforme à la norme ISO19011:2002 7.4.4 qui spécifi e ce e durée pour la forma on des auditeurs.

PROGRAMME

ISO 27001 LEAD AUDITOR5 au 9 février 2018 • Paris4 au 8 juin 2018 • Paris

24 au 28 septembre 2018 • Paris12 au 16 novembre 2018 • Paris

ÉLIGIBLE AU CPFÉLIGIBLE AU CPF


44

Réf :

270

01 L

I



Accueil des par cipants • Présenta on générale du cours • Introduc on aux enjeux de la sécurité

Présenta on détaillée de la norme ISO 27001 • No on de SMSI (Système de Management de la Sécurité de l'Informa on) • Modèle PDCA (Plan-Do-Check-Act) • Les chapitres obligatoires de la norme : - Contexte de l'organisa on - Leadership - Planifi ca on - Support - Fonc onnement - Évalua on des performances - Améliora on

Présenta on de la norme ISO 27002 • Diff érentes catégories de mesures de sécurité• Mesures d'ordre organisa onnel• Mesures d'ordre technique• Implémenta on d'une mesure de sécurité selon le modèle PDCA

Panorama des normes complémentaires

Le SMSI par les processus

• Le pilotage et les ac vités de support

• La ges on des exigences légales et réglementaires

• La ges on des risques et la norme ISO 27005

- Le vocabulaire : risque, menace, vulnérabilité, etc.

- Critères de ges on de risque

- Apprécia on des risques

- Accepta on du risque

- Communica on du risque

- La déclara on d'applicabilité (DdA/SoA)

- Réexamen du processus de ges on de risques et suivi des risques

• La ges on des mesures de sécurité

• La ges on des incidents

• L'évalua on des performances

- Surveillance au quo dien

- Les indicateurs et la norme ISO 27004

- L'audit interne

- La revue de Direc on

Le projet SMSI

• Convaincre la direc on

• Les étapes du projet

• Les acteurs

• Les facteurs clés de réussite et d'échec


Prépara on à l'examen

Examen conçu, surveillé et corrigé par LSTI.

Face aux a entes des par es prenantes et des décideurs et aux nombreuses exigences de sécurité à respecter, le Responsable de la sécurité du système d’informa on est souvent désarmé. Un système de management de la sécurité de l’informa on est la meilleure organisa on possible pour gérer la sécurité de son système d’informa on. Me re en œuvre les bonnes pra ques de la norme ISO-27001 et faire cer fi er son SMSI est devenu un gage d’excellence interna onalement reconnu valorisant la mission des acteurs de la sécurité.

VOUS ALLEZ APPRENDRE À • Me re en œuvre un Système de management de la sécurité de l’informa on (SMSI)• Gérer un projet de mise en œuvre de SMSI• Gérer un SMSI dans le temps• U liser la norme ISO 27001 et les guides associés : ISO 27002, ISO 27004 et ISO 27005)• Gérer les exigences de sécurité et les risques de sécurité• Gérer la mise en œuvre d’un plan de traitement des risques• Améliorer le SMSI et les mesures de sécurité dans le temps grâce aux mécanismes d’améliora on con nue

PUBLIC VISÉ• RSSI nouvellement en poste• Chefs de projet SMSI• DSI et leurs équipes• Quali ciens• Consultants

PRÉ REQUIS• Forma on ini ale minimum du second cycle ou jus fi er d’une expérience professionnelle d’au moins 5 ans dans le domaine des systèmes de management de la sécurité informa que• Connaître les bases de la sécurité des systèmes d’informa on

Méthode pédagogique • Cours magistral basé sur les normes • Exercices pra ques individuels et collec fs s’appuyant sur une étude de cas• Exercices individuels de révision• Jeu de rôle auditeur/audité• Forma on nécessitant 1 heure de travail à la maison et ce quo diennement

MATÉRIEL


CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on LSTI à la norme 27001:2013 (ISO 27001 Lead Implementer).


PROGRAMME

* 4,5 jours de cours et une demi-journée d'examen, soit un stage de 40 heures répar es en 31 heures 30 de cours, 3 heures 30 d'examen chez HSC et 5 heures de travail individuel sur les exercices chez soi..

ISO 27001 LEAD IMPLEMENTER22 au 26 janvier 2018 • Paris5 au 9 mars 2018 • Paris28 mai au 1er juin 2018 • Paris

17 au 21 septembre 2018 • Paris26 au 30 novembre 2018 • Paris17 au 21 décembre 2018 • Paris



45

Réf :

270

05 R

M


ISO 27005 Risk Manager

ISO 27005 RISK MANAGER

16 au 18 janvier 2018 • Paris4 au 6 avril 2018 • Paris18 au 20 juin 2018 • Paris

3 au 5 septembre 2018 • Paris8 au 10 octobre 2018 • Paris5 au 7 novembre 2018 • Paris10 au 12 décembre 2018 • Paris

* 2,5 jours pendant lesquels exposés, cas pra ques, exercices et études de cas sont alternés et une demi-journée réservée à l'examen.

Une des caractéris ques fortes de l’ISO 27001 est de spécifi er une organisa on de la sécurité des systèmes d’informa on qui impose une approche par la ges on des risques. Le guide ISO 27005 est donc le plus important de la série ISO 27000 et détaille concrètement une méthode de ges on des risques liée à la sécurité de l’informa on. La norme ISO 27005 est u lisable dans tout type de contexte mais en appliquant les fondamentaux de l’ISO 27001 elle applique les volontés de la direc on et donne une méthode de ges on des risques dans la durée, au contraire des habitudes de ges on de risques au coup par coup avec EBIOS ou Mehari. L’ISO 27005 est la première norme à appliquer l’ISO 31000, norme générique de ges on de risques applicable à tous les mé ers, de la ges on des risques opéra onnels à la ges on des risques industriels en passant par la ges on des risques.

VOUS ALLEZ APPRENDRE À • Acquérir une compréhension globale des concepts, de la norme, des méthodes et techniques• Me re en œuvre une démarche d’apprécia on des risques con nue et pragma que• Maîtriser la norme ISO 27005 : apprécia on et analyse des risques du SI

PUBLIC VISÉ• RSSI nouvellement en poste• Ges onnaires de risque débutants

PRÉ REQUIS• Des connaissances en sécurité informa que sont recommandées

Méthode pédagogique • Cours magistral basé sur les normes• Exercices pra ques individuels et collec fs basés sur une étude de cas• Exercices individuels de révision• Forma on nécessitant 1 heure de travail à la maison et ce quo diennement

MATÉRIEL


CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on LSTI à la norme 27005:2011 (ISO 27005 Risk Manager).


Introduc on• La série ISO 2700x• ISO 27005• Les autres méthodes

Le vocabulaire du management du risque selon l'ISO 27005 :

Présenta on interac vedu vocabulaire fondamental et de l'approche empirique de ges on de risque avec la par cipa on ac ve des stagiaires à un exemple concret.• Iden fi ca on et valorisa on d'ac fs• Menaces et vulnérabilités• Iden fi ca on du risque et formula on sous forme de scénarios• Es ma on des risques• Vraisemblance et conséquences d'un risque• Évalua on des risques• Les diff érents traitements du risque• Accepta on des risques• No on de risque résiduel

La norme ISO 27005 :• Introduc on à la norme ISO 27005• Ges on du processus de management du risque• Cycle de vie du projet

et améliora on con nue (modèle PDCA)• Établissement du contexte• Iden fi ca on des risques• Es ma on des risques• Évalua on des risques• Traitement du risque• Accepta on du risque• Surveillance et ré-examen du risque• Communica on du risque

Exercices

Mise en situa on : étude de cas• Réalisa on d'une apprécia on de risque complète• Travail de groupe• Simula on d'entre en avec un responsable de processus mé er• Mise à disposi on d'un ordinateur portable pour mener l'étude• Présenta on orale des résultats par chaque groupe• Revue des résultats présentés

Présenta ondes recommanda ons HSC :• Les erreurs courantes : les connaître et s'en prémunir• Ou llage• Recommanda ons générales• Prépara on à l'examen

Examen conçu, surveillé et corrigé par LSTI.

PROGRAMME



46

Réf :

EBI

OS

RM


EBIOS Risk Manager

EBIOS RISK MANAGER12 au 14 mars 2018 • Paris 19 au 21 novembre 2018 • Paris

EBIOS (Etude des Besoins et Iden fi ca on des Objec fs de Sécurité) s'est imposée comme la méthodologie phare en France pour apprécier les risques dans le secteur public. Elle est recommandée par l'ANSSI pour l'élabora on de PSSI et schéma directeur, pour l'homologa on de téléservice dans le cadre du RGS, dans le guide GISSIP ; par la CNIL pour réaliser des analyses d'impacts sur les données nomina ves (PIA ou Privacy Impact Assessment). EBIOS possède des caractéris ques uniques qui perme ent son usage dans tous les secteurs de la sécurité, bien au-delà de la SSI. EBIOS permet d'iden fi er les risques d'un système en construc on qui n'existe pas encore, et demeure idéale pour la rédac on de cahier des charges.


• Appréhender la méthode EBIOS 2010 et ses diff érents cas d'u lisa on.• Maîtriser la construc on d'un processus de ges on des risques.• Donner les moyens au stagiaire de piloter et réaliser une apprécia on des risques EBIOS• Communiquer les ressources et les ou ls disponibles afi n de réaliser une apprécia on des risques op male • Préparer l'apprenant à l'examen en fi n de session.

PUBLIC VISÉ

• CIL (DPO)• RSSI• Chefs de projet SI• Consultants sécurité• Toute personne connaissant d'autres méthodes comme ISO 27005, MEHARI ou EBIOS v2 (ancienne version d'EBIOS) et souhaitant maîtriser EBIOS 2010.

PRÉ REQUIS

• Des connaissances de base en sécurité informa que sont recommandées.

Méthode pédagogique • Cours magistral basé sur le référen el EBIOS, des références aux normes ISO 27005, ISO 31000 et ISO 31010 pourront être faites ;• Bon usage des normes et méthodes à disposi on (norme ISO 27002, méthodes d'analyse des risques ISO 27005 et MEHARI,...) ;• Construc on d'un tableau d'apprécia on des risques exploitable à par r d'un tableur de type Excel ;• Des exemples et études de cas rés de cas réels ;• Des exercices réalisés individuellement ou en groupe, y compris un exercice chaque soir à faire chez soi

MATÉRIEL

• Support de cours en français au format papier• Méthode EBIOS 2010

CERTIFICATION

Ce e forma on prépare à l'examen de cer fi ca on LSTI à méthode EBIOS (EBIOS Risk Manager).


PROGRAMME

Introduc on • EBIOS• Historique• Les autres méthodes• Diff érence entre EBIOS V2 et V2010• Le vocabulaire du risque selon EBIOS 2010 - Biens essen els et bien support - Propriétaire, dépositaire et RACI - Sources de menace et événements redoutés - Menaces et vulnérabilités et scénarios de menace - Iden fi ca on du risque et formula on sous forme de scénarios• Es ma on des risques• Vraisemblance et gravité d'un risque• Évalua on des risques• Les diff érents traitements du risque• No on de risque résiduel• Homologa on de sécurité

La démarche EBIOS • Introduc on• La modélisa on EBIOS - Alignement avec le modèle ISO 27005• Communica on et concerta on rela ve aux risques• Surveillance et réexamen du risque• Étude du contexte• Étude des événements redoutés• Étude des scénarios de menace• Étude des risques• Étude des mesures de sécurité• Étapes faculta ves• Applica ons spécifi ques - Concep on d'une poli que de sécurité et/ou d'un schéma directeur - Présenta on de la FEROS - Apprécia on de risques dans le cadre de l'intégra on de la sécurité dans un projet * Cas par culier du RGS * En vue de la rédac on d'un cahier des charges

Exercices

Mise en situa on : étude de cas• Réalisa on d'une étude EBIOS complète• Travail de groupe• Simula on d'entre en avec un responsable de processus mé er• Mise à disposi on d'un ordinateur portable pour mener l'étude• Présenta on orale des résultats par chaque groupe• Revue des résultats présentés

Recommanda ons HSC• Les erreurs courantes: les connaître et s'en prémunir• L'étude de cas @rchimed - Intérêts et limites• Logiciel EBIOS 2010 - Pra que du logiciel - Intérêts - Limites• U lisa on des bases de connaissances• Prépara on à l'examen

* 2,5 jours pendant lesquels exposés, cas pra ques, exercices et études de cas sont alternés et une demi-journée réservée à l'examen.



47

Réf :

RPC

A


Forma on RPCA

r

FORMATION RPCA

Quel que soit leur secteur d'ac vité, être capable d'assurer la con nuité des ac vités est plus que jamais au cœur des préoccupa ons des entreprises. Et ne nous y trompons pas: si la dimension «informa que» est (souvent) primordiale en con nuité d'ac vité, autant, elle n'est pas tout! Si l'on souhaite que le Plan de Con nuité d'Ac vités (PCA) soit effi cace (et qui ne le souhaiterait pas), alors la dimension «mé er» doit en être le cœur.La forma on proposée par HSC a précisément été conçue dans le but d'apporter au RPCA tous les éléments dont il a besoin pour assurer ses fonc ons.

VOUS ALLEZ

• Acquérir les compétences indispensables à l'exercice de la fonc on Responsable du Plan de Con nuité d'Ac vités, à savoir : - Fondamentaux de la con nuité d'ac vité - Contexte réglementaire et juridique - État du marché de la con nuité (aspect techniques) - Apprécier les enjeux et les risques mé ers - Formaliser un PCA effi cient - Mon PCA fonc onne-t-il? - Gérer une crise - Stratégies de prise de fonc on.

PUBLIC VISÉ

• Toute personne amenée à exercer la fonc on de responsable du Plan de con nuité d'ac vité : RPCA, futur RPCA, RSSI, ingénieurs sécurité assistant un RPCA, responsables sécurité à la produc on.• Les techniciens devenus RPCA, souhaitant obtenir une culture de management.• Les managers confi rmés manquant de la culture technique de base en ma ère de con nuité d'ac vité ou ne connaissant pas les acteurs du marché.• Toute personne amenée à assurer une fonc on de correspondant local con nuité d'ac vité ou une fonc on similaire.

PRÉ REQUIS

Ce e forma on ne demande pas de préalable juridique, mais une expérience opéra onnelle de la SSI et de l'exercice des responsabilités est souhaitée.

Méthode pédagogique • Cours magistral comportant de nombreux exemples pra ques basés sur le retour d'expérience d'ATEXIO et d'HSC et de ses clients, agrémenté d'exercices pra ques à l'issue de chaque par e importante. • Forma on dispensée en français

MATÉRIEL

• Support de cours et annexes en français au format papier.

CERTIFICATION



Introduc on - Fondamentaux de la con nuité d’ac vité• Accueil• Présenta on de la fonc on de RPCA en la me ant en perspec ve par rapport à tous les aspects de son environnement• Interac ons : RSSI, RM, Produc on, Direc on, mé ers, Services Généraux, Conformité, Juridique, RH, etc.• Stratégies de prise de fonc on du RPCA• Présenta on de la terminologie

Contexte réglementaire et juridique• Panorama des référen els du marché (lois, règlement, normes et bonnes pra ques)• Normalisa on ISO 22300 et 27000• Informa que et libertés

Aspects techniques de la con nuité• Sauvegarde & restaura on• Réplica on ou redondance• Réseau et télécoms

Apprécier les enjeux et les risques mé ers• Apprécia on des risques en con nuité d’ac vité• Processus cri ques : Bilan d’Impact sur l’Ac vité (BIA)

Acteurs du marché de la con nuité• Ges on des rela ons avec les partenaires• Externaliser vers un prestataire• Comment choisir ?

Formaliser un PCA effi cient• Projet PCA (prérequis, gouvernance, délais, livrables, etc.)• PGC : Plan Ges on de Crise• PCOM : Plan de Communica on (interne et externe)• PRM : Plan de reprise mé er• PCIT : Plan de Con nuité Informa que et Télécoms• PRN : Plan de Retour à la Normale

Mon PCA fonc onne-t-il ?… • Les exercices et tests• L’importance du rôle d’observateur• Audit du PCA• Main en en Condi on Opéra onnelle (MCO)• Ou ls de gouvernance, ges on, pilotage du PCA

Gérer une crise• Ac ver tout ou par e du PCA• Communiquer pendant la crise• Assurer le retour à la normale• Intégrer les retours d’expérience (RETEX)

Témoignage d'un RPCA (en fonc on des disponibilités)Examen

PROGRAMME

12 au 16 février 2018 • Paris 8 au 12 octobre 2018 • Paris


48

Réf :

2230

1 LA




Aujourd’hui la Con nuité d’Ac vité doit être prise en compte au niveau des organisa ons, l’objec f est de se préparer à réagir face à une crise majeure et à préserver ses ac vités cœur de Mé er en cas de survenance. La norme ISO 22301 fournit un cadre de référence en ma ère de Système de Management de la Con nuité d’Ac vité (SMCA), elle s’adresse à tout type d’organisa on.

VOUS ALLEZ APPRENDRE • Le fonc onnement d’un SMCA selon la norme ISO 22301• Le déroulement, les spécifi cités et les exigences d’un audit ISO 22301• Acquérir les compétences nécessaires pour réaliser un audit interne ou un audit de cer fi ca on ISO 22301 en fonc on de la norme ISO 19011• Gérer une équipe d’auditeurs de SMCA• Devenir auditeur ISO 22301 cer fi é

PUBLIC VISÉ• Stagiaires amenés à conduire des audits de SMCA• Responsables chargés de la Con nuité d’Ac vité (RPCA)• Consultants• Auditeurs• Chefs de projet• Quali ciens• Équipes du contrôle interne

PRÉ REQUIS• Forma on ini ale minimum du second cycle ou jus fi er d’une expérience professionnelle d’au moins 5 ans

Méthode pédagogique • Cours magistraux basés sur les normes ISO 19011, ISO 22301, ISO 22313, ISO 27031, ISO 31000 • Exercices pra ques, individuels et collec fs basés sur une étude de cas• Exercices individuels de révision• Forma on nécessitant 1 heure de travail à la maison et ce quo diennement

MATÉRIEL

• Support de cours en français au format papier• Annexes associées en anglais et/ou français

CERTIFICATION

Ce e forma on à l'examen de cer fi ca on LSTI à la norme 22301 (ISO 22301 Lead Auditor).


ISO 22301 LEAD AUDITOR25 au 29 juin 2018 • Paris

Accueil des par cipants• Présenta on générale du cours• Introduc on aux systèmes de management • Principes fondamentaux de la con nuité d’ac vité

Présenta on détaillée de la norme ISO22301 • No ons de Système de Management de la Con nuité d’ac vité (SMCA), • Modèle PDCA (Plan – Do – Check - Act) • Les exigences : - Comprendre l’organisa on et son contexte - Engagement de la Direc on - Analyse des impacts Mé er (BIA) et apprécia on des risques - Défi nir les stratégies de con nuité - Développer et me re en œuvre les plans et procédures de con nuité d'ac vité - Tests et exercices - Surveillance et réexamen du SMCA - Améliora on con nue• Les enregistrements

Panorama des normes ISO complémentaires : ISO 19011, ISO 22313, ISO 27031, ISO 31000

Présenta on de la con nuité d'ac vité• Procédures de con nuité d'ac vité• Exercices et tests• Retours d'expérience sur l'audit de Plans de Con nuité d'Ac vité (PCA)


Présenta on de la démarche d’audit d'un SMCA basé sur l'ISO 19011• Norme ISO 19011• Audit d’un SMCA• Règlement de cer fi ca on• Exemples pra ques

Techniques de conduite d’entre en

Exercices de prépara on à l’examen


PROGRAMME



49

Réf :

223

01 L

I



Aujourd’hui la Con nuité d’Ac vité doit être prise en compte au niveau des organisa ons, l’objec f est de se préparer à réagir face à une crise majeure et à préserver ses ac vités cœur de Mé er en cas de survenance. La norme ISO 22301 fournit un cadre de référence en ma ère de Système de Management de la Con nuité d’Ac vité (SMCA), elle s’adresse à tout type d’organisa on.


• La mise en œuvre d’un SMCA conformément à la norme ISO 22301• Les concepts, approches, méthodes et techniques requises pour gérer un SMCA• Acquérir les compétences nécessaires pour accompagner et conseiller une organisa on dans l’implémenta on et la ges on d’un SMCA conformément à la norme ISO 22301• Devenir un implémenteur cer ifi é ISO 22301

PUBLIC VISÉ

• Stagiaires devant me re en œuvre un SMCA• Managers• Responsables de direc on opéra onnelle• Responsables chargés de la Con nuité d’Ac vité (RPCA)• Ges onnaires de risque• Chefs de projets• Consultants

PRÉ REQUIS• Forma on ini ale minimum du second cycle ou jus fi er d’une expérience professionnelle d’au moins 5 ans• Connaître les principes fondamentaux de la Con nuité d’Ac vité

Méthode pédagogique • Cours magistraux basés sur les normes ISO 22301, ISO 22313, ISO 27031, ISO 31000, ISO 22317, ISO 27005... • Exercices pra ques, individuels et collec fs basés sur une étude de cas• Quizz préparatoire à l’examen• Forma on nécessitant 1 heure de travail à la maison et ce quo diennement

MATÉRIEL

• Support de cours en français au format papier• Annexes associées en anglais et/ou français

CERTIFICATION

Ce e forma on à l'examen de cer fi ca on LSTI à la norme 22301 (ISO 22301 Lead Implementer).


ISO 22301 LEAD IMPLEMENTER

14 au 18 mai 2018• Paris 22 au 26 octobre 2018 • Paris

Introduc on• Introduc on des systèmes de management • Principes fondamentaux de la con nuité d’ac vité

Présenta on détaillée de la norme ISO22301 • No ons de Système de Management de la Con nuité d’ac - vité (SMCA), • Modèle PDCA (Plan – Do – Check - Act) • Les processus du SMCA - Direc on - Pilotage du SMCA - Ges on de la conformité - Ges on des impacts sur l'ac vité - Ges on des risques - Ges on des stratégies de con nuité - Ges on des incidents perturbateurs - Documenta on et enregistrements - Ressources, compétences, sensibilisa on et communica- on - Supervision et revue - Ges on des ac ons correc ves

Panorama des normes ISO complémentaires : ISO 22313, ISO 27031, ISO 31000

Présenta on des processus de con nuité d'ac vité• Analyse des impacts sur l'ac vité ou Business Impact Analysis (BIA) sur la base de l'ISO 22317• Apprécia on du risque pour un SMCA sur la base de l’ISO 27005• Procédures de con nuité d'ac vité• Exercices et tests• Retours d'expérience sur l'implémenta on de Plans de Con - nuité d'Ac vité (PCA)

Mener un projet d'implémenta on d'un SMCA• Convaincre la Direc on• Les étapes du projet• Les acteurs• Les facteurs clés de succès• Les risques et opportunités

Intégra on de l'ISO 27031 dans le SMCA


Ges on des indicateurs

Prépara on de l’examen


PROGRAMME



Cale

ndrie

r des

form

a o

ns p

rem

ier s

emes

tre

2018

50

Calendrier des forma onspremier semestre 2018

Ce planning est suscep ble d’être complété ou modifi é. Retrouvez les dates de nos sessions de forma on en temps réel sur www.hsc-forma on.fr

Pour plus d'informa ons, contacter le service forma on par téléphone au 01 41 40 97 04 ou par courriel à forma ons-hsc@deloi e.fr

SÉCURITÉ TECHNIQUE Janvier Février Mars Avril Mai Juin Juillet

MODULE 1 - Introduc on à la Sécurité des Systèmes d'Informa on

ESSI - Essen els techniques de la SSI 5 au 6

SECU1 - Fondamentaux et techniques de la SSI 16 au 20

MODULE 2 - Sécurité des réseaux et des infrastructures

SECRF - Sécurité des réseaux sans fi l

SECINDUS - Sécurité SCADA 9 au 11

DNSSEC

SECARC - Architectures réseaux sécurisées 23 au 25

MODULE 3 - Inforensique

INFO1 - Inforensique : les bases d'une analyse post-mortem 9 au 13

INFO 2 - Inforensique avancée

INFO3 - Rétroingénierie de logiciels malfaisants 2 au 6

MODULE 4 - Sécurisa on, défense et analyse

SECDRIS - Surveillance, détec on et réponses aux incidents SSI 28/05 au 01/06

SECWEB - Sécurité des serveurs et des applica ons Web 18 au 22

SECWIN - Sécurisa on des infrastructures Windows

SECLIN - Expert Sécurité Linux (LPI303)

MODULE 5 - Tests d'intrusion

INTRU1 - Test d'intrusion et sécurité off ensive 14 au 18INTRU2 - Tests d'intrusion avancés et développement d'exploits

SÉCURITÉ JURIDIQUE Janvier Février Mars Avril Mai Juin Juillet

MODULE 6 - Sécurité et juridique

Droit de la SSI 14 au 16

GDPR / RGPD 12 au 13 23 au 24 21 au 22

DPO (Data Privacy Offi cer) 2 au 4

Privacy Implementer 29/01 au 02/02 12 au 16 9 au 13 4 au 8 9 au 13

Réaliser un PIA 4 au 5

Portec on des données de santé et vie privée 19 au 20 14 au 15

premier semestre 2018Calendrier des forma ons

Cale

ndrie

r des

form

a o

ns p

rem

ier s

emes

tre

2018

51


Lieux de la forma on

Paris Toulouse Luxembourg

SÉCURITÉ ORGANISATIONNELLE Janvier Février Mars Avril Mai Juin Juillet

MODULE 7 - Management de la sécurité

Forma on CISSP 19 au 23 11 au 15

Forma on CISA 4 au 8

Forma on RSSI 26 au 30 25 au 29

PCI DSS : Comprendre, me re en oeuvre et auditer

Homologa on SSI : RGS, IGI1300, LPM, PSSIE... 12

Principes et mise en œuvre des PKI 2 au 4

PKI Windows

Sécurité du Cloud Compu ng 21 au 23

MODULE 8 - Management de la sécurité avec les normes ISO 2700X

Fondamentaux ISO 27001 & ISO 27002 11 au 12

Indicateurs et tableaux de bord / ISO 270004 13

Ges on des incidents de sécurité / ISO 27035 14

Ges on de crise IT / SSI 15

ISO 27001 Lead Auditor 5 au 9 4 au 8

ISO 27001 Lead Implementer 22 au 26 5 au 9 28/05 au 01/06

ISO 27005 Risk Manager 16 au 18 4 au 6 18 au 20

EBIOS Risk Manager 12 au 14

Rennes

SÉCURITÉ ORGANISATIONNELLE Janvier Février Mars Avril Mai Juin Juillet

MODULE 9 - Management de la Con nuité d'Ac vité avec les normes ISO 2230X

Forma on RPCA 12 au 16

ISO 22301 Lead Auditor 25 au 29

ISO 22301 Lead Implementer 14 au 18

Cale

ndrie

r des

form

a o

ns s

econ

d se

mes

tre

2018

52

Calendrier des forma onssecond semestre 2018


Pour plus d'informa ons, contacter le service forma on par téléphone au 01 41 40 97 04 ou par courriel à forma ons-hsc@deloi e.fr

SÉCURITÉ TECHNIQUE Septembre Octobre Novembre Décembre

MODULE 1 - Introduc on à la Sécurité des Systèmes d'Informa on

ESSI - Essen els techniques de la SSI 13 au 14

SECU1 - Fondamentaux et techniques de la SSI 1 au 5

MODULE 2 - Sécurité des réseaux et des infrastructures

SECRF - Sécurité des réseaux sans fi l 8 au 9

SECINDUS - Sécurité SCADA 22 au 24

DNSSEC 22 au 23

SECARC - Architectures réseaux sécurisées 28 au 30

MODULE 3 - Inforensique

INFO1 - Inforensique : les bases d'une analyse post-mortem 10 au 14

INFO 2 - Inforensique avancée : Industrialisez les enquêtes sur vos infrastructures 17 au 21

INFO3 - Rétroingénierie de logiciels malfaisants

MODULE 4 - Sécurisa on, défense et analyse

SECDRIS - Surveillance, détec on et réponses aux incidents SSI 17 au 21

SECWEB - Sécurité des serveurs et des applica ons Web 15 au 19

SECWIN - Sécurisa on des infrastructures Windows 10 au 14

SECLIN - Expert Sécurité Linux (LPI303) 17 au 21

MODULE 5 - Intrusion

INTRU1 - Tests d'intrusion et sécurité off ensive 12 au 16

INTRU2 - Test d'intrusion avancés et développement d'exploits 3 au 7

SÉCURITÉ JURIDIQUE Septembre Octobre Novembre Décembre

MODULE 6 - Sécurité et juridique

Droit de la sécurité informa que 5 au 7

GDPR / RGPD 11 au 12 13 au 14

DPO (Data Privacy Offi cer) 26 au 28

Privacy Implementer3 au 7 5 au 9

17 au 21 26 au 30Réaliser un PIA 1212 au 13Protec on des données de santé et vie privée 4 au 5

second semestre 2018Calendrier des forma ons

Cale

ndrie

r des

form

a o

ns s

econ

d se

mes

tre

2018

53


SÉCURITÉ ORGANISATIONNELLE Septembre Octobre Novembre Décembre

MODULE 7 - Management de la sécurité

Forma on CISSP 19 au 23

Forma on CISA

Forma on RSSI 15 au 19

PCI DSS : Comprendre, me re en oeuvre et auditer 8

Homologa on de la SSI : RGS, IGI1300, LPM, PSSIE... 5

Principes et mise en œuvre des PKI

PKI Windows 1 au 3

Sécurité du Cloud Compu ng 10 au 12

MODULE 8 - Management de la sécurité avec les normes ISO 2700X

Fodamentaux ISO 27001 & ISO 27002 3 au 4

Indicateurs et tableaux de bord / ISO 270004 5

Ges on des incidents de sécurité / ISO 27035 6

Ges on de crise IT / SSI 7

ISO 27001 Lead Auditor 24 au 28 12 au 16

ISO 27001 Lead Implementer 17 au 21 26 au 30 17 au 21

ISO 27005 Risk Manager 3 au 5 8 au 10 5 au 7 10 au 12

EBIOS Risk Manager 19 au 21

Lieux de la forma on

Paris Toulouse Luxembourg

SÉCURITÉ ORGANISATIONNELLE Septembre Octobre Novembre Décembre

MODULE 9 - Management de la Con nuité d'Ac vité avec les normes ISO 22301

Forma on RPCA 8 au 12


ISO 22301 Lead Implementer 22 au 26

Aix

Depuis le 1er janvier 2015 le Compte personnel de forma on (CPF) remplace le Droit Individuel à la Forma on (DIF).

QU'EST CE QUE LE CPF ?

Tout comme le DIF, Le Compte Personnel de Forma on vous permet de bénéfi cier d’ac ons de forma on professionnelles, rémunérées ou indemnisées, réalisées dans ou en dehors de votre temps de travail.

QUI PEUT BÉNÉFICIER DU CPF ?

Tous les salariés et demandeurs d’emploi disposent d’un CPF à par r de 16 ans dès l’entrée dans la vie professionnelle. Il est a aché à la personne et non plus au contrat de travail. Il suit donc l’individu tout au long de sa vie professionnelle en lui perme ant d’acquérir des heures de forma on fi nancées, quels que soient les changements de statut professionnel. Le compte est fermé lorsque son tulaire est admis à faire valoir l’ensemble de ses droits à la retraite.

QUE VOUS APPORTE LE CPF ?

Les nouveautés du CPF par rapport au DIF vous perme ent d’accumuler 150 heures de forma on contre 120 heures pour le DIF. Pour autant, le CPF peut faire l’objet d’abondements en heures complémentaires fi nancés par l’employeur, un OPCA, etc. Ces 150 heures représentent donc maintenant un socle et non plus un plafond. En principe, un salarié en CDI à temps plein cumul 24 heures par an jusqu’à 120 heures puis 12 heures par an. Le CPF est conçu pour pouvoir s’adosser aux autres disposi fs de forma ons existants et donc d’augmenter et faciliter le nombre de forma ons suivies. Le CPF vous permet donc d’acquérir des compétences a estées : qualifi ca on, cer fi ca on, diplôme.

COMMENT FAIRE VALOIR VOS DROITS AU CPF ?

Avec le CPF, le salarié ou le demandeur d’emploi disposent d’une plus grande autonomie, ils deviennent leur propre acteur dans leur choix de forma ons afi n de construire au mieux leur carrière. La mise en œuvre du CPF revient donc à votre ini a ve la plus totale.Si la forma on se déroule hors de votre temps de travail, ou si elle vise l’acquisi on du socle de connaissances et de compétences alors, vous n’avez pas besoin de l’autorisa on de votre employeur.Si la forma on est suivie en tout ou par e sur votre temps de travail alors vous devez obtenir l’accord préalable de votre employeur.Le CPF donne une marge de négocia on avec son employeur ; vous pouvez apporter quelques heures de votre compte pour compléter avec votre entreprise (ou le Pôle Emploi ou un OPCA) votre forma on.

QUI FINANCE VOTRE FORMATION ?

Le montant de l’alloca on forma on ainsi que les frais de forma on sont à la charge de votre employeur mais aussi, sous condi on de négocia on, à la charge de votre Compte personnel de forma on.

Si votre crédit d’heures est insuffi sant pour réaliser votre projet de forma on, votre CPF peut faire l’objet d’abondements en heures complémentaires qui peuvent notamment être fi nancées par votre employeur, un OPCA ou vous-mêmes.

OÙ VOUS RENSEIGNER ?

- Service Ressources Humaines : tous les deux ans vous aurez droit à des entre ens professionnels pour envisager vos perspec ves de carrières.

- Service forma on de l’entreprise

- Ins tu ons représenta ves du personnel : CE ou délégués du personnel

- Pôle Emploi

- HSC by Deloi e : pour connaître les codes CPF de nos forma ons éligibles en fonc on de votre secteur d'ac vité

Pour plus d'informa ons, contactez le service forma on par téléphone au 01 41 40 97 04 ou par courriel à forma ons-hsc@deloi e.fr

Le

Com

pte

Pers

onne

l de

Form

a o

n

54

Le Compte Personnel de Forma on

55

Mod

alité

s d’

insc

rip o

n

Modalités d’inscrip onPour toute inscrip on aux forma ons HSC, vous devez nous transme re par courriel à forma ons-hsc@deloi e.fr ou par téléphone au 01 41 40 97 04 : les noms et prénoms du ou des par cipants, la ou les sessions de forma on choisies, l'adresse postale de votre société et votre numéro de TVA intracommunautaire. Ces renseignements nous perme ront d’établir une conven on de forma on.

Ce e conven on de forma on devra nous être retournée tamponnée, signée et accompagnée d’un bon de commande de votre organisme. Le bon de commande devra indiquer votre adresse de factura on et le respect de nos condi ons de règlement : il devra également être tamponné et signé par l’autorité compétente. La facture sera établie à la fi n de la forma on. L’inscrip on sera confi rmée dès récep on de ces documents. Une convoca on sera envoyée par mail deux semaines avant le début de la forma on accompagnée de notre règlement intérieur.

HSC, SAS au capital de 300 000 € avec Commissaire aux comptes, est enregistré comme centre de forma on sous le n°11921448592 auprès du préfet de la région Île-de-France.

Si le client souhaite eff ectuer une demande de prise en charge par l'OPCA dont il dépend, il lui appar ent :- de faire une demande de prise en charge dans les délais requis et de s’assurer de la bonne fi n de ce e

demande ;- de l’indiquer explicitement au moment de l’inscrip on.

Si l’accepta on de la prise en charge OPCA n’est pas arrivée chez HSC au plus tard une semaine avant le début de la forma on, la demande de subroga on ne pourra être prise en compte par HSC. Le client aura alors la possibilité :- soit d’annuler ou reporter l’inscrip on ; - soit de produire, avant la forma on, un bon de commande en bonne et due forme par lequel il s’engage à régler

le coût de la forma on à HSC.

Forma ons dispensées :- à Paris : dans nos locaux à Neuilly-Sur-Seine ou à La Défense (92) ;- en province ou à l’étranger dans un hôtel généralement situé en centre ville.

Accueil café - viennoiseries tous les jours - Déjeuners pris en commun off erts.Certaines de nos forma ons peuvent être dispensées en intra entreprise sous condi ons (nous consulter).

56

Bulle

n d

e pr

é-in

scrip

on

Bulle n de pré-inscrip onMerci de retourner ce bulle n à : HSC Forma ons - 185, avenue Charles de Gaulle – 92200 Neuilly-sur-Seine

Par télécopie au 01 41 40 97 09 - Par courriel à forma ons-hsc@deloi e.fr

RESPONSABLE FORMATION

Nom et prénom : ...................................................................................................................................................................................................................................................................................................................................

Fonc on : ............................................................................................................................................................... Société : .................................................................................................................................................................

Adresse : .........................................................................................................................................................................................................................................................................................................................................................

....................................................................................................................................................................................................................................................................................................................................................................................

Code postal : ..................................................................................................................................................... Ville : .........................................................................................................................................................................

Tél. : ............................................................................................................................................... Fax :............................................................................................................................................................................

E-mail : ..............................................................................................................................................................................................................................................................................................................................................................

Souhaite inscrire la ou les personne(s) suivante(s) au(x) stage(s) men onné(s) :

Nom et prénom : ...................................................................................................................................................................................................................................................................................................................................

Fonc on : .........................................................................................................................................................................................................................................................................................................................................................

Tél. : .......................................................................................... Fax : ............................................................................................................. E-mail : ......................................................................................................

In tulé de la forma on choisie : ...........................................................................................................................................................................................................................................................................................

Date de session : ....................................................................................................................................................................................................................................................................................................................................

Pour les forma ons cer fi antes, présenta on à l'examen : oui non

Nom et prénom : ...................................................................................................................................................................................................................................................................................................................................

Fonc on : .........................................................................................................................................................................................................................................................................................................................................................

Tél. : .......................................................................................... Fax : ............................................................................................................. E-mail : ......................................................................................................


Date de session : ....................................................................................................................................................................................................................................................................................................................................


Nom et prénom : ...................................................................................................................................................................................................................................................................................................................................

Fonc on : .........................................................................................................................................................................................................................................................................................................................................................

Tél. : .......................................................................................... Fax : ............................................................................................................. E-mail : ......................................................................................................


Date de session : ....................................................................................................................................................................................................................................................................................................................................

ADRESSE DE FACTURATION SI DIFFÉRENTE

Société : ...........................................................................................................................................................................................................................................................................................................................................................

Adresse : .........................................................................................................................................................................................................................................................................................................................................................

....................................................................................................................................................................................................................................................................................................................................................................................


Nom du correspondant : .................................................................................................. Tél. : ...........................................................................................................................................................................

E-mail : ..............................................................................................................................................................................................................................................................................................................................................................

Date : Cachet et signature de l’employeur :

Conven on de forma on : pour chacune des sessions proposées, une conven on de forma on est disponible sur simple demande. Numéro de déclara on d’ac vité en tant qu’organisme de forma on : 11921448592

Modalités pra ques d’organisa on :• Forma ons dispensées :

- dans nos locaux à Neuilly-Sur-Seine (92) au 185 avenue Charles de Gaulle. Plan d’accès et liste d’hôtels disponibles sur :h p://www.hsc.fr/contacts/aces.html.fr et h p://www.hsc.fr/contacts /hotels.html.fr

- en province (Toulouse, Marseille, Lyon…) et au Luxembourg dans des salles de forma on louées dans un hôtel pour l’occasion• Accueil café – viennoiseries tous les jours. Déjeuners pris en commun off erts

Pour plus d’informa on, contactez le service forma on par téléphone au 01 41 40 97 04 ou par courriel à forma ons-hsc@deloi e.fr

57

Bulle

n d

e pr

é-in

scrip

on

Bulle n de pré-inscrip onMerci de retourner ce bulle n à : HSC Forma ons - 185, avenue Charles de Gaulle – 92200 Neuilly-sur-Seine

Par télécopie au 01 41 40 97 09 - Par courriel à forma ons-hsc@deloi e.fr

RESPONSABLE FORMATION

Nom et prénom : ...................................................................................................................................................................................................................................................................................................................................

Fonc on : ............................................................................................................................................................... Société : .................................................................................................................................................................

Adresse : .........................................................................................................................................................................................................................................................................................................................................................

....................................................................................................................................................................................................................................................................................................................................................................................


Tél. : ............................................................................................................................................... Fax :............................................................................................................................................................................

E-mail : ..............................................................................................................................................................................................................................................................................................................................................................

Souhaite inscrire la ou les personne(s) suivante(s) au(x) stage(s) men onné(s) :

Nom et prénom : ...................................................................................................................................................................................................................................................................................................................................

Fonc on : .........................................................................................................................................................................................................................................................................................................................................................

Tél. : .......................................................................................... Fax : ............................................................................................................. E-mail : ......................................................................................................


Date de session : ....................................................................................................................................................................................................................................................................................................................................


Nom et prénom : ...................................................................................................................................................................................................................................................................................................................................

Fonc on : .........................................................................................................................................................................................................................................................................................................................................................

Tél. : .......................................................................................... Fax : ............................................................................................................. E-mail : ......................................................................................................


Date de session : ....................................................................................................................................................................................................................................................................................................................................


Nom et prénom : ...................................................................................................................................................................................................................................................................................................................................

Fonc on : .........................................................................................................................................................................................................................................................................................................................................................

Tél. : .......................................................................................... Fax : ............................................................................................................. E-mail : ......................................................................................................


Date de session : ....................................................................................................................................................................................................................................................................................................................................

ADRESSE DE FACTURATION SI DIFFÉRENTE

Société : ...........................................................................................................................................................................................................................................................................................................................................................

Adresse : .........................................................................................................................................................................................................................................................................................................................................................

....................................................................................................................................................................................................................................................................................................................................................................................


Nom du correspondant : .................................................................................................. Tél. : ...........................................................................................................................................................................

E-mail : ..............................................................................................................................................................................................................................................................................................................................................................

Date : Cachet et signature de l’employeur :

Conven on de forma on : pour chacune des sessions proposées, une conven on de forma on est disponible sur simple demande. Numéro de déclara on d’ac vité en tant qu’organisme de forma on : 11921448592

Modalités pra ques d’organisa on :• Forma ons dispensées :

- dans nos locaux à Neuilly-Sur-Seine (92) au 185 avenue Charles de Gaulle. Plan d’accès et liste d’hôtels disponibles sur :h p://www.hsc.fr/contacts/aces.html.fr et h p://www.hsc.fr/contacts /hotels.html.fr

- en province (Toulouse, Marseille, Lyon…) et au Luxembourg dans des salles de forma on louées dans un hôtel pour l’occasion• Accueil café – viennoiseries tous les jours. Déjeuners pris en commun off erts

Pour plus d’informa on, contactez le service forma on par téléphone au 01 41 40 97 04 ou par courriel à forma ons-hsc@deloi e.fr

58

Cond

i on

s G

énér

ales

de

Vent

es

1 OBJET ET DISPOSITIONS GÉNÉRALES

Les présentes condi ons générales de vente s’appliquent aux com-mandes de forma on inter entreprise passées auprès de la société Hervé Schauer Consultants (HSC). Cela implique l’accepta on sans réserve par l’acheteur et son adhésion pleine et en ère aux pré-sentes condi ons générales de ventes et prévalent sur toutes condi ons générales d’achat.

HSC informe du niveau requis pour suivre les stages qu'elle pro-pose. Il appar ent au client d’évaluer ses besoins et de vérifi er si ses collaborateurs ont le niveau de pré-requis a endu pour suivre les forma ons HSC.

2 INSCRIPTION

L'inscrip on à un stage ne devient eff ec ve qu'après récep on par nos services d'un bon de commande et de la conven on de forma on ou du devis, dûment renseigné et portant le cachet du Client. Pour les forma ons en province et à l'étranger et pour les forma ons SANS, les documents devront parvenir à HSC 15 jours avant le début de la forma on.

HSC adressera par courriel, deux semaines avant le début de la for-ma on, une convoca on récapitulant les détails pra ques : date, lieu, horaires et accès, aux contacts indiqués dans les documents d’inscrip on. HSC ne peut être tenu responsable de la non récep- on de la convoca on quels qu’en soient le ou les des nataire(s)

chez le client, notamment en cas d’absence du ou des stagiaires à la forma on. A l’issue de la forma on, une a esta on individuellede stage sera adressée par courrier, accompagné de la facture correspondante.

Une commande n'est valable qu'après accepta on par HSC sous huitaine. Toute modifi ca on ultérieure apportée par le client devra faire l’objet d’un accord écrit de la part d'HSC.

3 MODIFICATION, ANNULATION ET REPORT

Toute annula on ou report d’inscrip on doit être signalé par télé-phone et confi rmé par écrit à HSC.

Pour les forma ons proposées en Province, à l'étranger ou hors de nos locaux (à Paris ou en Région Parisienne), si l'annula on ou le report intervient dans les trente jours ouvrés précédant le début de la forma on, HSC facturera la totalité de la forma on.

Pour les forma ons proposées dans nos locaux de Neuilly ou de La Défense (92), si le report ou l’annula on intervient :• dans les 30 jours ouvrés précédant le début de la forma on, HSC facturera à hauteur de 50% du coût total de la forma on • dans les 15 jours ouvrés précédant le début de la forma on, HSC facturera la forma on en totalité.

Toutefois, lorsqu'un par cipant ne peut pas assister à une forma- on à laquelle il est inscrit, il peut être remplacé par un collabora-

teur de la même entreprise. Le nom et les coordonnées de ce nouveau par cipant doivent être confi rmés par écrit à HSC. En cas d'absence du stagiaire pour un cas de force majeure com-munément admis par les tribunaux, à tre excep onnel et après valida on de caractère de force majeure de la situa on, HSC acceptera que le client puisse dans les 12 mois maximum suivant son absence, choisir une date future pour la même forma on.HSC se réserve le droit d'annuler ou de reporter sans indemnités une forma on si le nombre de par cipants n'est pas suffi sant, ou en cas de force majeure. Le client peut alors choisir une autre date dans le calendrier des forma ons.

HSC ne pourra être tenue responsable des frais ou dommages consécu fs à l'annula on d'un stage ou à un report à une date ultérieure.

4 TARIFS FACTURATION

Les frais de par cipa on comprennent : la par cipa on à la forma- on, les supports de cours et les pauses café. Les déjeuners sont

off erts par HSC. Toute forma on commencée est due en totalité.La facture est établie à l’issue de la forma on.

L’échéance est men onnée en clair sur la facture. Tout défaut depaiement (en tout ou en par e) par le client à l’échéance et ce, sauf report sollicité par le client et accordé par HSC de manière formelle, entraînera automa quement, sans qu'aucun rappel ne soit nécessaire et dès le jour suivant la date de règlement fi gurant sur la facture, l'applica on de pénalités de retard fi xées à trois fois le taux d'intérêt légal. HSC pourra également exiger le paiement de l'indemnité forfaitaire pour frais de recouvrement, d’un mon-tant de quarante (40) euros, ainsi que, le cas échéant, le paiement d’une indemnisa on complémentaire, sur jus fi ca on.

Prise en charge par un OPCA : Si le client souhaite eff ectuer une demande de prise en charge par l’OPCA dont il dépend, il lui appar ent :- de faire une demande de prise en charge dans les délais requis et

de s’assurer de la bonne fi n de ce e demande ;- de l’indiquer explicitement au moment de l’inscrip on.

Si l’accepta on de la prise en charge OPCA n’est pas arrivée chez HSC au plus tard une semaine avant le début de la forma on, la demande de subroga on ne pourra être prise en compte par HSC. Le client aura alors la possibilité :- soit d’annuler ou reporter l’inscrip on, - soit de produire, avant la forma on, un bon de commande en

bonne et due forme par lequel il s’engage à régler le coût de la forma on à HSC.

5 PROPRIÉTÉ INTELLECTUELLE

Chaque forma on comprend la fourniture de documenta on des- née à l'usage interne du client. Toute reproduc on, modifi ca on

ou divulga on à des ers de tout ou par e des supports de forma- on ou documents, sous quelque forme que ce soit, est interdite

sans l'accord préalable écrit de HSC.

6 ARBITRAGE EN CAS DE LITIGE

Les présentes condi ons générales de ventes sont régies par les lois françaises. Tout li ge découlant de leur inter-préta on ou de leur applica on ressort de la compé-tence exclusive des tribunaux des Hauts-de-Seine (92).

Applicables au 1er octobre 2017 et modifi ables sans préavis. Version 8 du 01/10/2017

Condi onsGénérales de Ventes

H

Hervé Schauer Consultants185 Avenue Charles de Gaulle - F - 92200 Neuilly-sur-Seine

Tél. : +33 (0)141 409 704Fax : +33 (0) 141 409 709

Réa

lisat

ion

: VBC

Con

cept

• ©

Mas

terfi

le